Proyecto de Grado SGSI - IGM - CarlosGuzman (FINAL) PDF

DISEO DE UN SISTEMA DE GESTION DE SEGURIDAD DE LA
INFORMACION PARA UNA ENTIDAD FINANCIERA DE

SEGUNDO PISO
TRABAJO DE GRADO
CARLOS ALBERTO GUZMAN SILVA

COD. 1412010642
INSTITUCIN UNIVERSITARIA POLITCNICO GRANCOLOMBIANO

FACULTAD DE INGENIERA Y CIENCIAS BSICAS
ESPECIALIZACIN EN SEGURIDAD DE LA INFORMACIN
2015
DISEO DE UN SISTEMA DE GESTION DE SEGURIDAD DE LA
INFORMACION PARA UNA ENTIDAD FINANCIERA DE
SEGUNDO PISO
TRABAJO DE GRADO
CARLOS ALBERTO GUZMAN SILVA

COD. 1412010642
Asesor
Giovanny Andrs Piedrahita Solorzano
Coordinador Investigacin y Posgrados DIST-FICB
INSTITUCIN UNIVERSITARIA POLITCNICO GRANCOLOMBIANO

FACULTAD DE INGENIERA Y CIENCIAS BSICAS
ESPECIALIZACIN EN SEGURIDAD DE LA INFORMACIN
2015
Nota de aceptacin
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
Firmas de los jurados
Ciudad, Fecha
TABLA DE CONTENIDO
INTRODUCCION .................................................................................................. 11
1. RESUMEN EJECUTIVO ................................................................................ 13
1.1. DESCRIPCIN GENERAL ...................................................................... 13
1.1.1. ESTADO DE LA SEGURIAD DE LA INFORMACION EN IGM S.A ...... 13
1.1.2. IDENTIFICACION DEL PROBLEMA .................................................... 15
1.1.3. DIAGNOSTICO SITUACION PROBLEMA............................................ 16
1.1.4. INDICADORES DEL PROBLEMA ........................................................ 18
1.1.5. PLANTEAMIENTO DEL PROBLEMA ................................................... 19
1.1.6. FORMULACION DEL PROBLEMA ....................................................... 21
1.2. OBJETIVOS ............................................................................................. 21
1.2.1. OBJETIVO GENERAL .......................................................................... 21
1.2.2. OBJETIVO ESPECIFICOS ................................................................... 21
1.3. ALCANCE Y LIMITACIONES ................................................................... 22
1.3.1. ALCANCE ............................................................................................. 22
1.3.2. LIMITACIONES..................................................................................... 22
1.4. RESULTADOS ESPERADOS DEL TRABAJO ........................................ 23
1.4.1. ENTREGABLES DEL TRABAJO .......................................................... 23
1.4.2. IMPACTO DEL PROYECTO................................................................. 23
2. JUSTIFICACION ............................................................................................ 25
3. MARCO DE REFERENCIA ............................................................................ 29
3.1. MARCO TEORICO................................................................................... 29
3.1.1. SEGURIDAD DE LA INFORMACION ................................................... 30
3.1.2. GESTION DE SEGURIDAD DE LA INFORMACION ............................ 31
3.1.3. SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION ..... 32
3.1.4. NORMAS ISO/IEC 27000 ..................................................................... 33
3.1.5. CICLO DE MEJORA CONTINA VS NORMA ISO/IEC 27001:2013 ... 36
3.2. MARCO CONCEPTUAL (GLOSARIO DE TERMINOS) ........................... 39
4. METODOLOGIA ............................................................................................ 42
4.1. TIPO DE INVESTIGACION ...................................................................... 42
4.2. LINEA DE INVESTIGACION .................................................................... 43
4.3. INSTRUMENTOS DE RECOLECCION DE INFORMACION ................... 43
4.4. FASES METODOLOGICAS ..................................................................... 43
5. DISEO DEL SISTEMA DE GESTION DE SEGURIDAD DE LA
INFORMACION ..................................................................................................... 47
5.1. FASE I. DIAGNOSTICO ........................................................................... 47
5.1.1. DIAGNOSTICO ESTADO ACTUAL DE LA SEGURIDAD..................... 47
5.1.2. IDENTIFICACION ESTRATIFICACION DE LA ENTIDAD .................... 48
5.1.3. NIVEL DE CUMPLIMIENTO ANEXO A - ISO 27001:2013 ................... 51
5.2. FASE II. PREPARACION ......................................................................... 62
5.2.1. CONTEXTO DE LA ORGANIZACION .................................................. 62
5.2.1.1. CONOCIMIENTO DE LA ORGANIZACIN....................................... 62
5.2.1.2. NORMATIVIDAD DE SEGURIDAD APLICABLE A LA ENTIDAD ..... 69
5.2.1.3. PARTES INTERESAS DE LA ENTIDAD ........................................... 70
5.2.2. ALCANCE DEL SGSI ........................................................................... 74
5.2.3. POLITICA DEL SGSI ............................................................................ 74
5.2.4. OBJETIVO DEL SGSI ........................................................................... 75
5.2.5. ESTRUCTURA ORGANIZACIONAL DE LA SEGURIDAD ................... 76
5.3. FASE III. PLANIFICACION ...................................................................... 80
5.3.1. CLASIFICACION DE ACTIVOS DE TECNOLOGIA ............................. 81
5.3.2. VALORACION RIESGOS ACTIVOS DE TECNOLOGIA ...................... 90
5.3.2.1. IDENTIFICACION DE AMENZAS...................................................... 90
5.3.2.2. ANALISIS DEL RIESGO INGERENTE .............................................. 95
5.3.2.3. MAPA DE CALOR ........................................................................... 101
5.3.2.4. MAPA DE RIESGO INHERENTE .................................................... 102
5.3.2.5. VALORACION DE CONTROLES .................................................... 103
5.3.2.6. DETERMINAR DESPLAZAMIENTO MAPA DE CALOR ................. 106
5.3.2.7. DETERMINACION RIESGO RESIDUAL ......................................... 109
5.3.2.8. MAPA DE RIESGO RESIDUAL ....................................................... 109
5.3.2.9. COMPARATIVA MAPAS DE CALOR ............................................. 111
5.3.3. PLANES DE TRATAMIENTO DE RIESGO ........................................ 113
5.3.4. POLITICAS DE SEGURIDAD DE LA INFORMACION ....................... 118
5.3.5. INCIDENTES DE SEGURIDAD .......................................................... 119
5.3.5.1. FASES GESTION DE INCIDENTES DE SEGURIDAD ................... 120
5.3.5.2. CATEGORIZACION INCIDENTES DE SEGURIDAD ...................... 121
5.3.5.3. PROCEDIMIENTO REPORTE Y ATENCION DE INCIDENTES ..... 123
6. RESULTADOS Y DISCUSIONES ................................................................ 124
6.1. RESULTADOS FASE I DIAGNOSTICO.............................................. 124
6.2. RESULTADOS FASE II PREPARACION............................................ 136
6.3. RESULTADOS FASE III PLANIFICACION ......................................... 142
7. CONCLUCIONES ........................................................................................ 166
8. RECOMENDACIONES ................................................................................ 169
BIBLIOGRAFIA ................................................................................................... 170
ANEXOS ............................................................................................................. 173
ANEXO A. ENCUESTAS ESTRATIFICACION DE ENTIDADES .................. 173
ANEXO B. EVALUACION CONTROLES ANEXO A ISO 27001-2013. .......... 173
ANEXO C. ALCANCE POLITICAS Y OBJETIVO DEL SGSI.......................... 173
ANEXO D. METODOLOGIA DE GESTION DE RIESGOS ............................. 173
ANEXO E. CLASIFICACION ACTIVOS Y VALORACION DE RIESGOS ....... 173
ANEXO F. MANUAL DE POLITICA SEGURIDAD DE LA INFORMACION .... 173
ANEXO G. PROCEDIMIENTO REPORTE Y ATENCION INCIDENTES DE
SEGURIDAD ................................................................................................... 173
LISTA DE TABLAS
Tabla 1. Factores asociados a las situaciones del problema ................................ 17

Tabla 2. Indicadores del problema ........................................................................ 18
Tabla 3. SGSI y cumplimiento de los indicadores ................................................. 27
Tabla 4. Dominios de la norma ISO/IEC 27001:2013 ............................................ 34
Tabla 5. Fases PHVA vs Estructura ISO 27001:2013 ........................................... 37
Tabla 6. Valoracin estratificacin de la entidad ................................................... 49
Tabla 7. Rangos de Estratificacin de Entidades .................................................. 50
Tabla 8. Nivel de riesgos vs nivel cumplimiento controles .................................... 53
Tabla 9. Objetivos de control con nivel BAJO de cumplimiento ............................ 55
Tabla 10. Objetivos de control con nivel MEDIO de cumplimiento ........................ 57
Tabla 11. Objetivos de control con nivel ALTO de cumplimiento .......................... 60
Tabla 12. Partes de inters externas en funcin del SGSI .................................... 71
Tabla 13. Partes de inters internas en funcin del SGSI ..................................... 72
Tabla 14. Actores relevantes en funcin a la seguridad de la informacin ............ 73
Tabla 15. Tipos de activos de informacin ............................................................ 81
Tabla 16. Inventario de activos de informacin de tecnologa ............................... 82
Tabla 17. Tabla para valoracin activos de informacin ....................................... 85
Tabla 18. Preguntas para determinar la criticidad del activo ................................. 86
Tabla 19. Nivel de criticidad de los activo de informacin ..................................... 86
Tabla 20. Valoracin nivel criticidad activos informacin de tecnologa ................ 87
Tabla 21. Activos seleccionados para valoracin de riesgos ................................ 89
Tabla 22. Lista de riesgos y principios de seguridad afectados ............................ 91
Tabla 23. Amenazas que pueden afectar los activos de tecnologa...................... 91
Tabla 24. Vulnerabilidad asociados a las amenazas de los activos ...................... 93
Tabla 25. Valoracin probabilidad de ocurrencia .................................................. 95
Tabla 26. Valoracin del impacto .......................................................................... 96
Tabla 27. Valoracin de los riesgos ...................................................................... 97
Tabla 28. Valoracin de riesgos inherente Direccin de Tecnologa ..................... 98
Tabla 29. Riesgos inherentes de Tecnologa por tipo de riesgo............................ 99
Tabla 30. Criterios para evaluar la efectividad del control ................................... 103
Tabla 31. Valoracin de controles ....................................................................... 104
Tabla 32. Valores de desplazamiento que genera el control ............................... 106
Tabla 33. Determinacin nivel de desplazamiento .............................................. 107
Tabla 34. Criterios para tratamiento de riesgos................................................... 114
Tabla 35. Opciones tratamiento riesgo residual del proceso de tecnologa ........ 114
Tabla 36. Plan de tratamiento de riesgos residuales proceso de Tecnologa ..... 115
Tabla 37. Actividades Ciclo Gestin de Incidentes.............................................. 121
Tabla 38. Categorizacin Incidentes de Seguridad de la Informacin ................. 122
Tabla 39. Cumplimiento Dominios y Objetivos de Control ISO 27001 ................ 129
Tabla 40. Planes de accin niveles cumplimiento controles Anexo A ISO
27001:2013 ......................................................................................................... 133
Tabla 41. Estructura metodologa valoracin de activos y riesgos ...................... 143
Tabla 42. Nmero de activos identificados por tipo de activo ............................. 145
Tabla 43. Codificacin de riesgos del proceso de tecnologa.............................. 151
Tabla 44. Disminucin nivel riesgos por controles valorados .............................. 157
LISTA DE FIGURAS
Figura 1. Identificacin Situacin Problema .......................................................... 16

Figura 2. Ciclo de mejora continua (Ciclo Deming) ............................................... 36
Figura 3. Ciclo de mejora continua alineado a la norma ISO 27001:2013 ............ 37
Figura 4. Fases para la diseo del SGSI ............................................................... 44
Figura 5. Fases para el diseo del SGSI de la Entidad ......................................... 44
Figura 6. Nivel de cumplimiento controles Anexo A ISO 27001:2013 ................... 52
Figura 7. Nivel Cumplimiento Objetivos de Control Anexo A ISO 27001:2013 ..... 54
Figura 8. Organigrama de la Entidad .................................................................... 64
Figura 9. Mapa de proceso de la Entidad .............................................................. 65
Figura 10. Organizacin de la seguridad de la informacin .................................. 77
Figura 11. Distribucin del riesgo inherente activos Direccin de Tecnologa .... 100
Figura 12. Mapa de Calor .................................................................................... 101
Figura 13. Mapa Riesgo inherentes detallado proceso de tecnologa ................. 102
Figura 14. Mapa Riesgo inherentes detallado proceso de tecnologa ................. 102
Figura 15. Distribucin del riesgo residual activos Direccin de Tecnologa ....... 109
Figura 16. Mapa Riesgo residual general proceso de tecnologa........................ 110
Figura 17. Mapa Riesgo residual detallado proceso de tecnologa ..................... 110
Figura 18. Comparativo Mapas de Calor Consolidadas ...................................... 111
Figura 19. Comparativo Mapas de Calor Detalladas ........................................... 112
Figura 20. Mapa de calor opcin tratamiento de riesgo ...................................... 113
Figura 21. Ciclo de vida gestin incidentes de seguridad de la informacin ....... 120
Figura 22. Nivel cumplimiento dominios de control Anexo A ISO 27001:2013 .... 131
Figura 23. Nivel cumplimiento entidad frente al Anexo A ISO 27001 .................. 132
Figura 24. Grado de Inters Partes Interesadas ................................................. 139
Figura 25. Grado de motivacin partes interesadas ............................................ 140
Figura 26. Grado de gobernabilidad partes interesadas ..................................... 140
Figura 27. Clasificacin activos de informacin de tecnologa ............................ 145
Figura 28. Clasificacin activos de tecnologa por criticidad ............................... 146
Figura 29. Cantidad de activos afectos por las amenazas .................................. 148
Figura 30. Vulnerabilidades y No. de Amenazas que pueden explotarlas .......... 149
Figura 31. Nmero de vulnerabilidades que puede exportar una amenaza ........ 150
Figura 32. Distribucin Riesgos Inherente proceso de tecnologa ...................... 152
Figura 33. Numero de riesgos que mitiga los control identificados ..................... 154
Figura 34. Cantidad de controles identificados por riesgo ................................... 155
Figura 35. Disminucin nivel de riesgo por efectividad del control (1) ................. 156
Figura 36. Disminucin nivel de riesgo por efectividad del control (2) ................. 156
Figura 37. Disminucin nivel riesgos por controles valorados ............................. 158
Figura 38. Comparativo matriz de riesgos proceso de tecnologa ....................... 158
Figura 39. Distribucin riesgo residual proceso de tecnologa ............................ 161
Figura 40. Distribucin de amenazas por opcin de tratamiento del riesgo ........ 162
Figura 41. Ciclo de vida gestin incidentes de seguridad de la informacin ....... 165
INTRODUCCION
Hoy en da, la informacin est definida como uno de los activos ms valiosos y
primordiales para cualquier tipo de organizacin, la cual, slo tiene sentido cuando
est disponible y es utilizada de forma adecuada, integra, oportuna, responsable y
segura, lo que implica, que es necesario que las organizaciones tengan una
adecuada gestin de sus recursos y activos de informacin con el objetivo de
asegurar y controlar el debido acceso, tratamiento y uso de la informacin.
El aseguramiento y la proteccin de la seguridad de la informacin de las

organizaciones y de los datos de carcter personal de los usuarios, representan
un reto al momento de pretender garantizar su confidencialidad, integridad,
disponibilidad y privacidad, razon por la cual, la seguridad de la informacin se ha
convertido en uno de los aspectos de mayor preocupacin a nivel mundial.
Cualquier tipo de organizacin independiente de su tamao y naturaleza, debe ser

consciente que la diversidad de amenazas existentes que actualmente atentan
contra la seguridad y privacidad de la informacin, representan un riesgo que al
materializarse no solo les puede acarrear costos econmicos, sancinales legales,
afectacin de su imagen y reputacin, sino que pueden afectar la continuidad y
supervivencia del negocio. Lo anterior, sumando a un entorno tecnolgico en
donde cada da se hace ms complejo de administrar y asegurar, genera que cada
vez ms la seguridad de la informacin forme parte de los objetivos y planes
estratgicos de las organizaciones. Por lo tanto, es indispensable que los
responsables dentro de las organizaciones encargados de velar por la proteccin y
seguridad de sus recursos, infraestructura e informacin, contantemente estn
adoptando, implementando y mejorando medidas de seguridad orientadas a
prevenir y/o detectar los riesgos que pueden llegar a comprometer la
disponibilidad, integridad y confidencialidad de los activos de informacin a travs
de los cuales se gestiona la informacin del negocio, independientemente si est
es de carcter organizacional o personal, o de tipo pblica o privada.
En la medida que las organizaciones tenga una visin general de los riesgos que
pueden afectar la seguridad de la informacin, podrn establecer controles y
medidas efectivas, viables y transversales con el propsito de salvaguardar la
integridad, disponibilidad y confidencialidad tanto de la informacin del negocio
como los datos de carcter personal de sus empleados y usuarios. Es
indispensable que las organizaciones realicen una adecuada identificacin,
11
clasificacin, valoracin, gestin y tratamiento de los riegos que pueden afectar su
seguridad, con el propsito de implementar salvaguardas efectivas que les
permitan estar preparados ante situaciones adversas que puedan comprometer
tanto la seguridad fsica y lgica de sus instalaciones, personas, recursos y
sistemas, como la seguridad de su informacin.
Las entidades del sector financiero, estn en la obligacin de garantizar la debida

seguridad, proteccin y privacidad de la informacin financiera y personal de los
usuarios que residen en sus bases de datos, lo que implica, que deben contar con
los ms altos estndares y niveles de seguridad con el propsito de asegurar la
debida recoleccin, almacenamiento, tratamiento y uso de esta informacin. Una
de las preocupaciones permanentes de este tipo de entidades financieras, es la de
poder garantizar la seguridad de las operaciones que realizan sus clientes, lo cual,
cada da es ms complejo de conseguir debido a la evolucin de las tecnologas y
la apertura de nuevos canales de transacciones que generan retos significativos
con el propsito de prevenir los fraudes en general.
Debido a los mltiples riesgos y amenazas que hoy en da atentan contra la

seguridad de la informacin y la proteccin y privacidad de los datos, es
fundamental que las organizaciones establezcan, implementen, mantengan y
mejoren continuamente un sistemas de gestin de seguridad de la informacin
basado en los riesgos y a su vez, alineado con los objetivos estratgicos y
necesidades tanto del negocio como de sus partes interesadas.
El presente trabajo de grado busca disear un Sistema de Gestin de Seguridad

de la Informacion para una entidad financiera de segundo piso, tendiendo en
cuenta para esto el marco de referencia de la norma ISO 27001:2013 [1] que
proporciona un marco metodolgico basado en buenas prcticas para llevar a
cabo la implementacin de Gestin de Seguridad de la Informacion en cualquier
tipo de organizacin, lo cual, permite garantizar su efectiva implementacin y
asegurar su debida permaneca y evolucin en el tiempo.
El diseo del Sistema de Gestin de Seguridad de la Informacin se realizar para

una empresa real, pero por motivos de confidencialidad de su informacin para
efectos del presente trabajo se utilizar el nombre de IGM S.A.
12
1. RESUMEN EJECUTIVO
1.1. DESCRIPCIN GENERAL
IGM S.A es un Banco de Segundo Piso, tambin conocidos como bancos de

desarrollo o bancos de fomento, cuyos recursos de crdito son desembolsados a
los usuarios de los crditos a travs de otras instituciones financieras.
IGM S.A, es una sociedad annima, de economa mixta del orden nacional,
constituida con la participacin exclusiva de entidades pblicas, con personera
jurdica, autonoma administrativa y capital independiente, organizada como un
establecimiento de crdito, vinculada al Ministerio de Hacienda y Crdito Pblico y
sometida a vigilancia por la Superintendencia Financiera de Colombia.
La entidad por ser de carcter pblico y financiero, este vigilada y controlada por la
Superintendencia Financiera de Colombia y otros entes de control, por lo tanto,
debe cumplir la normatividad vigente relacionada con seguridad de la informacin
impartida por estos organismos aplicable a entidades del estado y financieras.
La Entidad cuenta con la infraestructura tecnolgica adecuada y tiene

implementado una serie de mecanismos de seguridad, tanto fsicos como lgicos,
con el propsito de poder proteger la confidencialidad, integridad y disponibilidad
de la informacin del negocio y la privacidad de los datos de los clientes que
residen en sus bases de datos. A pesar de contar con estos recursos tecnolgicos
y tener implementadas medidas de seguridad, la Entidad no cuenta con los
mecanismos adecuados y expeditos que le permitan conocer el estado real de su
seguridad en cuanto a personas, procesos y tecnologa, ni el nivel de efectividad
de las medidas de seguridad que tiene implementadas, lo que dificulta o impide
identificar y por ende gestionar de manera efectiva los riesgos asociados a la
seguridad de sus activos de informacin y las amenazas que puedan llegar con
comprometer la integridad, disponibilidad y confidencialidad de su informacin.
1.1.1. ESTADO DE LA SEGURIAD DE LA INFORMACION EN IGM S.A

A principios del 2012, la Jefatura de Control Interno de la entidad realiz una
auditora al proceso de Gestin de Tecnologa1, con el fin de evaluar el estado de
1
Auditora interna realizadas por la Jefatura de Control Interno de la Entidad.
13
la seguridad de la infraestructura tecnolgica y con ello poder identificar su nivel
de exposicin ante posibles ataque externo, para lo cual, realiz pruebas de
vulnerabilidades de tipo no intrusivas a una serie de servicios de TI. Resultado de
esta prueba, la auditoria encontr que el nivel de exposicin de la plataforma
tecnolgica de la entidad ante ataques informticos era alto y recomend entre
otras aspectos, la implementacin de una serie de medidas y controles de
seguridad con el objetivo de cerrar las brechas encontradas y la necesidad de que
la entidad cuente con un modelo de seguridad de la informacin.
Con el propsito, de solventar cada una de los hallazgos encontrados y atender

las recomendaciones y acciones de mejora establecidas en esta auditora, la
entidad contrato en el segundo semestre de 2012 a una empresa especializada en
temas de seguridad de la informacin y continuidad del negocio, quien desarrollo
en trminos generales las siguientes actividades:
Diagnstico fsico y de infraestructura.

Gestin de vulnerabilidades.
Revisin de las polticas de seguridad.
Como resultado de esta consultora, la entidad desarrollo un plan de mitigacin de

vulnerabilidades para disminuir el nivel de exposicin de sus recursos tecnolgicos
y estableci un plan anual de pruebas de vulnerabilidades, con el propsito de
poder identificar de manera proactiva las debilidades de su infraestructura
tecnolgica y con esto establecer e implementar las medidas y controles
orientadas a mejorar su nivel de seguridad.
Adicional a las labores realizadas por esta consultara, la Direccin de Tecnologa

durante el ao 2013 adelantado una serie de capacitacin para sensibilizar a los
funcionarios de la Entidad en temas de seguridad de la informacin.
A finales del ao 2013, la Jefatura de Control Interno realizo la respetiva auditoria

anual, la cual evidencio entre otros aspectos, la ausencia de un modelo de
Gobierno de Seguridad en la entidad, la poca concienciacin y apropiacin por
parte de los funcionarios en temas de seguridad y la ausencia de una
metodolgica de gestin de riesgos de seguridad. Como resultado de esta
auditora, la Jefatura de Control Interno recomend la necesidad de contar con un
Gobierno de Seguridad adecuado dentro de la organizacin para poder alinear la
Seguridad de la informacin con las estrategias y objetivos del negocio, para lo
14
cual, sugiri la implementacin de un Sistema de Gestin de Seguridad de la
Informacin. Con el propsito de atender esta recomendacin, desde enero del
2014, la Vicepresidencia de Crdito y Riesgos asumi la responsabilidad de definir
el modelo de Seguridad de la Informacin a implementar en la entidad.
La Entidad cuenta con la Direccin de Tecnologa que tiene por objetivo proveer y
administrar los recursos tecnolgicos, la cual es considerada como una de las
reas fundamentes para garantizar la integridad, confidencialidad y disponibilidad
de la informacin de la entidad. La Direccin de Tecnologa desarrolla actividades
propias de seguridad informtica, pero en muchos casos tambin funciones
relacionadas con seguridad de la informacin, lo cual genera un riesgo debido a la
falta de segregacin de funciones asociadas con seguridad de la informacin.
1.1.2. IDENTIFICACION DEL PROBLEMA

A pesar de las acciones que se han realizado con el objetivo de fortalecer la
Seguridad de la Informacin en la entidad, situaciones como, la falta de un
adecuado modelo de Gobierno de Seguridad de la Informacin, la no existencia y
de un sistema de informacin que apoye la gestin de riesgos de seguridad y la
poca concienciacin, apropiacin y conocimiento en temas de seguridad por parte
de los funcionarios de la entidad, debido, tal vez a una sensacin de seguridad
que hace pensar que nada va a pasar o que en algunos casos no le dan la
importancia a la seguridad de la informacin por su intangibilidad, generan la poca
efectividad de las acciones que en materia de seguridad de la informacin se
realicen en la entidad. Esta situacin, tambin implica que los funcionarios no
conciben la diferencia entre seguridad informtica y seguridad de la informacin.
La entidad no cuenta con sistema de informacin adecuado y robusto para la

gestin de riesgos de seguridad, lo que dificulta establecer y visualizar el estado
global y transversal de su seguridad, en cuanto a personas, procesos y tecnologa,
e implica entre otros aspectos, que no existe la participacin activa de toda la
organizacin con relacin a la definicin de procedimientos adecuados y a la
planeacin e identificacin de controles de seguridad basados en una evaluacin
de riesgos y en una medicin de la eficacia de los mismos2.
2
http://www.iso27000.es/sgsi.html
15
La Entidad requiere asegurar sus activos de informacin con el propsito de
proteger su exactitud y totalidad con el fin de que los mismos solo sean accesibles
por aquellas personas que estn debidamente autorizadas. La entidad no cuenta
con una metodologa para la identificacin y clasificacin de sus activos de
informacin y para la valoracin y tratamiento de riesgos de seguridad de la
informacin, lo que implica, que no cuenta con una visin global del estado de su
seguridad.
La Direccin de Tecnologa realiza algunas funciones propias de seguridad de la

informacin, lo cual va en contrava con las mejores prcticas definidas en
modelos y estndares de seguridad. Por lo tanto, es indispensable segregar las
funciones de seguridad de la informacin y seguridad informtica con el propsito
de evitar que coexistan funciones que requieren diferentes niveles de seguridad.
1.1.3. DIAGNOSTICO SITUACION PROBLEMA

Con base en el anlisis del estado de la seguridad de la entidad y la identificacin
de situaciones que de alguna forma afectan su seguridad, la siguiente figura
ilustrar la identificacin de la situacin problema:
Los funcionarios no conciben la No existe una participacin

No se cuentas con un sistema de diferencia entre seguridad activa de toda la organizacin en
informacin adecuado para la informtica y seguridad de la la definicin de controles de
gestin de riesgos de seguridad informacin seguridad basados en una
evaluacin de riesgos
La falta de concienciacin,
No existe una valoracin de apropiacin y conocimiento en
riesgos de seguridad de TODOS temas de seguridad por parte de
los activos de informacin todos los funcionarios
Problema:
"Inadecuado Modelo
de Gestin de
La poltica de seguridad existente Seguridad de la Falta de un adecuado Gobierno de
no est alineada con los objetivos Informacin" Seguridad en la Entidad.
del negocio
Figura 1. Identificacin Situacin Problema

Fuente: El Autor
16
A continuacin se describen los diferentes factores que se presentan en la entidad
y que estn asociados a cada una de las situaciones que generan el problema:
Tabla 1. Factores asociados a las situaciones del problema
Situacin Factores
Falta de un Gobierno No existe una directriz a nivel gerencial sobre seguridad de
de Seguridad en la la informacin.
Entidad No existe una participacin activa de la alta directiva
No existe una cultura Falta de concienciacin, apropiacin y conocimiento en
de seguridad de la temas de seguridad por parte de todos los funcionarios de
informacin en la la Entidad.
Entidad. No existe una cultura de mejora continua de seguridad de
la informacin.
Falta de inters por parte de los funcionarios en temas de
seguridad.
No existe una participacin actividad de toda la
organizacin con relacin a la definicin de procedimientos
adecuados y a la planeacin e identificacin de controles
de seguridad basados en una evaluacin de riesgos
Los funcionarios no distinguen la diferencia entre seguridad
informtica y seguridad de la informacin.
No existe Sistema de La entidad no cuenta con un sistema de informacin
Informacin adecuado para la gestin de riesgos de seguridad.
adecuado para la No existe una valoracin de riesgos de seguridad de
gestin de riesgos de TODOS los activos de informacin.
seguridad. La entidad no cuenta con una visin global del estado de su
seguridad, y por lo tanto no puede determinar con exactitud
la efectividad de las medidas que sobre seguridad
implemente.
Dificultad para el control y clasificacin de los activos de
informacin.
Inadecuada identificacin de riesgos y controles de
seguridad.
La poltica de La poltica de seguridad existente no est alineada con las
seguridad existente estrategias y objetivos del negocio.
no est alineada con Las polticas de seguridad son definidas por la Direccin de
los objetivos del Tecnologa.
negocio Se requiere segregar las funciones de seguridad
informtica y seguridad de la informacin.
Con base en las anteriores situaciones, se puede determinar que el problema

corresponde a un Inadecuado Modelo de Gestin de Seguridad de la
Informacin en la Entidad.
17
1.1.4. INDICADORES DEL PROBLEMA
Los siguientes son los indicadores que se establecieron con el objetivo de poder
identificar el estado actual de la situacin problema:
Tabla 2. Indicadores del problema
Indicador Objetivo del indicador

Establecer el nivel de compromiso de los funcionarios de la entidad
Nivel de compromiso de funciones y
en adoptar las funciones y responsabilidades que se establezcan en
responsabilidades de seguridad
el manual de polticas de seguridad de la informacin.
Cubrimiento planes de tratamiento Determinar el nivel o grado de cubrimiento de los planes de
de riesgos de seguridad tratamiento de riesgos de seguridad de la informacin en la entidad.
Determina el grado de eficacia de la gestin de tratamiento de
Eficacia tratamiento de riesgos
riesgos de la entidad.
Concienciacin en seguridad de la Determinar el grado de cumplimiento de los planes de
informacin concienciacin, sensibilizacin y capacitacin en temas de seguridad.
De acuerdo a encuestas y estudios globales realizados sobre temas de seguridad

de la informacin, a continuacin se rescatan algunos resultados de dichos
estudios con el objetivo de identificar el nivel de medicin de estos indicadores en
las diferentes organizaciones que fueron encuestadas:
Nivel de compromiso de funciones y responsabilidades de seguridad

De acuerdo a la XV Encuesta Global de Seguridad de la Informacin realizado
por Ernst & Young [2] en el ao 2013, el 21% de los encuestados a nivel global
han atribuido la responsabilidad de la seguridad de la informacin al CEO, CFO o
COO logrando con esto que dicha responsabilidad sea un tema de la alta
direccin, pero solo el 5% seala que la funcin de seguridad de la informacin le
reporta al director de riesgos. De acuerdo al estudio, esta decisin se vuelve
crtica al momento de querer gestionar las amenazas que puedan llegar
comprometer la seguridad y dificulta la medicin del desempeo y efectividad de
las medidas implementadas. La encuesta, indica que generalmente las reas de
TI no cuentan con un panorama de riesgos formal o un mecanismo para
evaluarlos, lo que de alguna forma explica porque el 52% de los encuestados a
nivel global no cuentan con un programa adecuado y proactivo para la gestin de
amenazas.
18
Tambin se indica en la encuesta que el 63% de las organizaciones a nivel global
depositan la responsabilidad de la seguridad de la informacin en la funcin de TI,
lo que puede impedir que haya una evaluacin, medicin y alineacin eficaz con
las prioridades del negocio.
Cubrimiento planes de tratamiento de riesgos de seguridad

En la XV Encuesta Global de Seguridad de la Informacin realizado por Ernst &
Young3 en el ao 2013, se estableci que el 52% de los encuestados a nivel
global no cuentan con un programa adecuado y proactivo para la identificacin y
gestin de amenazas. En un estudio realizado por la Asociacin Colombiana de
Ingenieros de Sistemas ACIS, denominado Tendencias 2014 Encuesta Nacional
de Seguridad Informtica [3], se evidenci que el 50.29% de las empresas
encuestados no realizan anlisis de riesgos.
Concienciacin en seguridad de la informacin

De acuerdo a la encuesta XV Encuesta Global de Seguridad de la Informacin,
realizado por Ernst & Young en el 2013, entre otros resultados se estableci que el
40% de la organizacin invierten en programas de concientizacin y el 60% han
implementado programas de concientizacin para empleados.
1.1.5. PLANTEAMIENTO DEL PROBLEMA

Debido a los mltiples riesgos y amenazas que se generan por el cambio
constante y dinmico que enmarca la evolucin de las tecnologa de la
informacin, es necesario que las organizaciones cuenten con una estrategia
seguridad basado en los riesgos y a su vez alineada con las necesidades del
negocio, con el objetivo de contar con un modelo de la Seguridad de la
Informacin que apoye y apalanque los objetivos estratgicos de la organizacin.
Un Sistema de Gestin de la Seguridad de la Informacin, es una herramienta de

gran utilidad para la gestin de la seguridad en las organizaciones, permite
establecer polticas, procedimientos y controles en relacin a los objetivos de
negocio de la organizacin. Brinda una visin general del estado de los sistemas
de informacin y permite conocer la efectividad de las medidas de seguridad que
se implementen, lo cual, es fundamental para apoyar la toma de decisiones por
parte de la alta directiva con relaciones a las estrategias a seguir.
3
XV Encuesta Global de Seguridad de la Informacin de Ernst & Young, Pg. 13
19
La existencia de un sistema de seguridad de la informacin en las organizaciones
genera sentido de pertenencia y apropiacin en temas de seguridad en las
personas, de tal forma, que se logra la participacin activa de toda la organizacin
en la planeacin, definicin, identificacin e implementacin de medidas
orientadas a salvaguardar la seguridad de la informacin de la organizacin.
La implementacin de un Sistema de Gestin de Seguridad de la Informacin,

requiere que inicialmente se realic un proceso ineludible de clasificar los activos
de informacin en trminos de su valor, requerimientos legales, sensibilidad y
criticidad para la organizacin, con el propsito de identificar los riesgos de
seguridad asociados con la informacin y de esta forma realizar un anlisis para
definir y establecer los mecanismos ms convenientes para protegerla.
Con base en el diagnstico de la situacin problema, la empresa IGM S.A.

requiere implementar un Sistema de Gestin de Seguridad de la Informacin con
el objetivo de fortalecer integralmente en la entidad, los pilares fundamentales de
la seguridad correspondiente a la Integridad, Confidencialidad y Disponibilidad de
la informacin y garantizar con esto la debida proteccin de la informacin del
negocio y la privacidad de la informacin de sus partes interesadas.
IGM S.A, requiere disear, implementar y mantener un Sistema de Gestin de

Seguridad de la Informacin mediante un conjunto coherente de procesos para la
gestin eficaz de acceso a la informacin. Se requiere como conocer el estado
actual de sus activos de informacin, clasificarlos, priorizarlos y determinar su
valor en caso de prdida de informacin, lo que implica que es necesario que se
conozcan los posibles riesgos que afectan la seguridad de la informacin y se
establecen los mecanismos para minimizar el impacto en caso de presentarse la
materializacin de una vulnerabilidad.
IGM S.A, requiere establecer un Gobierno de Seguridad alineado la cultura

organizacional y con las necesidades y objetivos del negocio, compuesto por una
estructura organizacional con roles y responsabilidades y un conjunto coherente
de polticas, procesos y procedimientos, con el objetivo de forjar, promover y
extender una cultura de seguridad en todos los niveles de la organizacin.
De acuerdo a lo anterior, se puede establecer que el problema est relacionado

con un inadecuado modelo de seguridad de la informacin, lo que significa que es
necesario disear un Sistema de Gestin de Seguridad de la Informacin para la
20
entidad, basado en un estndar de seguridad reconocido a nivel mundial, con el
propsito de garantizar su efectiva implementacin y asegurar su debida
permaneca y evolucin en el tiempo.
1.1.6. FORMULACION DEL PROBLEMA
Un Sistema de Gestin de Seguridad de la Informacin le proveer a IGM S.A los

elementos, mecanismo y lineamientos adecuados para mejorar la seguridad de la
informacin de la entidad y la gestin y tratamiento de los riesgos asociados al uso
de la informacin?
1.2. OBJETIVOS
1.2.1. OBJETIVO GENERAL

Disear un Sistema de Gestin de Seguridad de la Informacin para la empresa
IGM S.A., tomando como referencia la norma NTC-ISO-IEC 27001:2013.
1.2.2. OBJETIVO ESPECIFICOS

OE1. Analizar la situacin actual de la entidad, con relacin a la Gestin de
Seguridad de la Informacin.
OE2. Determinar el Nivel de Madurez en el que se encuentra la entidad para su
modelo de seguridad de la informacin.
OE3. Establecer el nivel de cumplimiento de la entidad frente a los objetivos de
control y controles establecidos en el Anexo A de la ISO 27001:2013 y
definir los planes de accin orientados a cerrar las brechas de seguridad
encontradas.
OE4. Establecer la estructura organizacional, roles y responsabilidades en cuanto
a la Seguridad de la Informacin.
OE5. Analizar las necesidades y requerimientos de las partes interesas de la
entidad con relacin al Sistema de Gestin de Seguridad de la Informacin.
OE6. Definir la poltica, alcance y objetivos del Sistema de Gestin de Seguridad
de la informacin.
21
OE7. Definir la metodologa para la identificacin y clasificacin de activos de
informacin y para la valoracin y tratamiento de riesgos de Seguridad de la
Informacin.
OE8. Clasificar los activos de informacin del proceso de Gestin de Tecnologa
de la entidad, valorar sus riesgos de seguridad y definir los planes de
tratamiento de los riegos encontrados, de acuerdo a la metodologa
definida.
OE9. Definir las polticas de la Seguridad de la Informacin de la entidad tomando
como base la norma ISO 27001:2013.
OE10. Definir un mecanismo para la gestin de incidentes de seguridad.
1.3. ALCANCE Y LIMITACIONES
1.3.1. ALCANCE
El alcance del proyecto abarca el diseo un Sistema de Gestin de Seguridad de

la informacin para la empresa IGM S.A., el cual est orientado a cubrir la primera
fase de la implementacin de un Sistema de Gestin de Seguridad de la
Informacin, que corresponde a la etapa de planeacin.
El alcance del proyecto abarca solo el Proceso de Gestin de Tecnologa, para la

sede principal de la Entidad, por lo tanto, el proceso de clasificacin de activos de
informacin y valoracin de riesgos solo se realizar para este proceso.
Para el desarrollo del proyecto se utilizar como gua principal la norma NTC-ISO-
IEC 27001 versin 2013, que corresponde a un estndar referente a nivel mundial
que especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un Sistema de Gestin de Seguridad de la Informacin4.
1.3.2. LIMITACIONES
El proyecto consistir solo en el anlisis y diseo del Sistema de Gestin de
Seguridad de la Informacin para la empresa IGM S.A, basado en la norma NTC-
ISO-IEC 27001:2013, pero no abarca las fases de implementacin, revisin y
mantenimiento y mejora del Sistema de Gestin de Seguridad de la Informacin.
4
Wikipedia, ISO/IEC 27001, http://es.wikipedia.org/wiki/ISO/IEC_27001
22
1.4. RESULTADOS ESPERADOS DEL TRABAJO
1.4.1. ENTREGABLES DEL TRABAJO

A continuacin se listan los diferentes entregables del presente trabajo de grado:
La poltica, alcance y objetivos del Sistema de Gestin de Seguridad de la

informacin.
La estructura organizacional, roles y responsabilidades en cuanto a la
Anlisis de las necesidades y requerimientos de las partes interesas de la
Metodologa para la identificacin y clasificacin de los activos de informacin y
para el anlisis y valoracin de riesgos de Seguridad de la Informacin.
Inventario de los activos de informacin resultado de aplicar la metodologa de
identificacin, clasificacin y valoracin de los activos de informacin, para el
proceso de Gestin de Tecnologa.
Informe de evaluacin de riesgos, correspondiente al resultado de aplicar la
metodologa de anlisis y valoracin de riesgos de seguridad de la informacin
al proceso de Gestin de Tecnologa.
Plan de tratamiento de riesgos, el cual contendr las acciones para la gestin
de los riesgos de seguridad identificados en el proceso de Gestin de
Tecnologa.
Diagnstico del nivel de cumplimiento de la entidad con relacin a los objetivos
de control y controles establecidos en el Anexo A de la norma ISO 27001:2013,
y los planes de accin orientados de cerrar la brechas encontradas.
Manual de polticas de seguridad de la Informacin.
Procedimiento para la gestin de incidentes de seguridad.
1.4.2. IMPACTO DEL PROYECTO

Con este proyecto se pretende establecer disear un adecuado y sostenible
modelo de seguridad de la informacin basado en la norma ISO/IEC 27001:2013,
con el propsito de que la seguridad de la informacin soportada en un Gobierno
de Seguridad, apoye y apalanque los objetivos estratgicos de la entidad.
23
Los objetivos planteados en este proyecto, estn orientados a poder disear un
adecuado Sistema de Gestin de Seguridad de la Informacin para la entidad, con
el propsito de poder generar los siguientes beneficios:
Garantizar su Misin y Alcanzar su visin. El diseo de un Sistema de Gestin

de Seguridad de la Informacin basado en la norma ISO/IEC 27001:2013,
proveer los mecanismo adecuados para poder garantizar la proteccin y
aseguramiento de su informacin, lo cual es fundamental para la debida y segura
gestin administrativa, financiera, operativa y tcnica de la entidad necesaria para
poder garantizar su Misin y alcanzar su Visin.
Mejorar la Imagen de la entidad. Un Sistema de Gestin de Seguridad de la

Informacin le provee a la entidad una metodologa para la gestin de riesgos de
seguridad de la informacin, lo cual mejora su imagen antes sus partes
interesadas ya que genera confianza debido a que demuestra que la entidad
identifica, clasifica, valora y trata de manera adecuada sus riesgos de seguridad.
Disminuir costos. Un Sistema de Gestin de Seguridad de la Informacin puede

generar un impacto positivo en las finanzas de la entidad, ya que en la medida de
que los colaboradores tengan una conciencia clara de cul es la informacin que
se debe proteger y gestionen adecuadamente sus riesgos, se puede evitar
inversiones innecesarias en seguridad y tecnologa.
Cumplimiento normativo. Sistema de Gestin de Seguridad de la Informacin

permite determinar el estado real de la seguridad de la informacin de la entidad,
conocer las posibles amenazas que la puedan afectar y establecer las acciones
efectivas para mitigarlas, lo cual, indique una adecuada gestin de riesgos que
garantizar la debida proteccin de su informacin y la privacidad de los datos
personales de sus clientes, lo cual, ayuda al cumplimiento de la normatividad
vigente relacionada con seguridad de la informacin.
24
2. JUSTIFICACION
El diseo de un Sistema de Gestin de Seguridad de la Informacin basado en un

modelo de buenas prcticas de seguridad conocido a nivel mundial, como es la
norma ISO/IEC 27001:2013, proveer las condiciones de gobernabilidad,
oportunidad y viabilidad necesarias para que la seguridad de la informacin apoye
y extienda los objetivo estratgicos del negocio, mediante la proteccin y
aseguramiento de su informacin que es fundamental para garantizar la debida
gestin financiera, administrativa y operativa de la entidad, y con ello asegurar el
cumplimiento de su Misin.
Un Sistema de Gestin de Seguridad de la Informacin, demuestra el compromiso

de la organizacin hacia la Seguridad de la Informacin y provee los elementos
requeridos para gestionar de manera eficiente los riesgos que puedan atentar con
la seguridad de su informacin, lo cual genera confianza en sus partes interesadas
que es fundamental para el crecimiento y la sostenibilidad de la entidad.
Establecer un Sistema de Gestin de Seguridad de la Informacin, significa que la

entidad se caracteriza en relacin a la seguridad de la informacin por tener un
modelo de seguridad donde se tiene una estrategia eficaz y es proactiva en la
ejecucin del plan, que segn encuesta global de Seguridad de la Informacin
2014, realizada por PWC5, ubicara a la entidad en el 50% de la organizaciones a
nivel mundial que son pioneras en adoptar este tipo de modelos de seguridad.
Un Sistema de Gestin de Seguridad de la Informacin, le permitir a la entidad

poder contar con un Gobierno de Seguridad alineado a las necesidades y
objetivos estratgicos del negocio, compuesto por una estructura organizacional
con roles y responsabilidades y un conjunto coherente de polticas, procesos y
procedimientos, con el objetivo de forjar, promover y extender una cultura de
seguridad en todos los niveles de la organizacin y de esta forma gestionar de
manera adecuada la seguridad de su informacin.
Un Sistema de Gestin de Seguridad de la Informacin le permitir a la Entidad

fortalecer integralmente en cada uno de sus colaboradores, los pilares
fundamentales de la seguridad correspondiente a la integridad, confidencialidad y
5
PWC, Resultados de la Encuesta Global de Seguridad de la Informacin, Pag, 4
25
disponibilidad de la informacin, lo cual, ayuda a forjar, fomentar y extender en
toda la organizacin una cultura apropiada de seguridad de la informacin.

estndar de seguridad reconocido a nivel mundial, como es la norma ISO 27001,
permitir estructurar las bases necesarias que permiten forjar un adecuado
modelo de seguridad en la entidad basado en mejores practica para la
implementacin de este tipo de sistemas y sobre todo, permitir garantizar su
mejora continua y su debida permaneca y evolucin en el tiempo.
Un Sistema de Gestin de Seguridad de la Informacin, le permitir a la entidad

gestionar de manera efectiva los riesgos asociados a la seguridad de la
informacin mediante la identificando de amenazas que puedan llegar con
comprometer la integridad, disponibilidad y confidencialidad de sus activos de
informacin y con esto poder establecer los mecanismos para minimizar el
impacto en caso de presentarse la materializacin de una vulnerabilidad.
La implementacin de un adecuado Modelo de Seguridad de la Informacin

demuestra el compromiso de la organizacin hacia la Seguridad de la Informacin
y le proporciona a la entidad las herramientas y elementos necesarios para
alcanzar de manera efectiva los siguientes objetivos de seguridad:
Fomentar la cultura de Seguridad de la Informacin en todos los niveles de la

organizacin, lo cual facilita la tarea de proteger sus activos de informacin.
Generar sentido de pertenencia y apropiacin en temas de seguridad en cada
uno de los funcionarios de la entidad, logrando con ello la participacin activa
de toda la organizacin con relacin a la planeacin, definicin, identificacin e
implementacin de controles y medidas orientadas a salvaguardar la seguridad
de la informacin de la organizacin.
Generar mayor conciencia en los funcionarios de la Entidad con relacin a los
riesgos que pueden afectar la seguridad de la informacin evitando fugas de
informacin por ataques externos.
Promover a que los funcionarios adopten, interioricen y acaten la poltica,
procedimientos y las prcticas de seguridad definidas en la entidad, y a su vez
comprendan las implicaciones, peligros y riesgos de sus acciones.
26
Promover que los riesgos de la seguridad de la informacin sean conocidos,
asumidos, gestionados por la organizacin, as como, que los problemas de
seguridad se comuniquen de manera proactiva y oportuna.
Promover la cultura de mejora continua del sistema de gestin de seguridad de
la informacin, contribuyendo a su mejor administracin, desempeo, eficacia y
cumplimiento.
Promover una buena cultura de seguridad al interior de la organizacin y una
conciencia clara de cul es la informacin que se debe proteger, evita con esto,
inversiones innecesarias en seguridad y tecnologa.
Un modelo de Seguridad de la Informacin, le ayudar a la entidad a medir,

cuantificar y mejorar el nivel de cumplimiento de los indicadores que se
establecieron para determinar el estado actual de la situacin problema. A
continuacin, se describir con un modelo o Sistema de Seguridad de la
Informacin apoya y apalanca a la entidad en la debida gestin y cumplimiento de
dichos indicadores:
Tabla 3. SGSI y cumplimiento de los indicadores
Indicador Como apoya un modelo de Seguridad de la Informacin

Nivel de Establece un Gobierno de Seguridad compuesto por una estructura
compromiso de organizacional con roles y responsabilidades de seguridad.
los funcionarios Define funciones y responsabilidades de seguridad asociados a
en adoptar roles y cargos de la entidad.
funciones y Define polticas y procedimiento de seguridad.
responsabilidade
Promueve la divulgacin y sensibilizacin de las polticas de
s de seguridad
seguridad con el propsito de garantizar su desempeo, eficacia y
cumplimiento.
Promueve que los funcionarios adopten, interioricen y acaten la
poltica, procedimientos y prcticas de seguridad definidas en la
entidad y comprendan las implicaciones, peligros y riesgos de sus
acciones.
Grado de Genera sentido de pertenencia y apropiacin en temas de seguridad
cubrimiento de en cada uno de los funcionarios de la entidad, logrando con ello la
los planes de participacin activa de toda la organizacin con relacin a la
tratamiento de planeacin, definicin, identificacin e implementacin de controles
riesgos de y medidas orientadas a salvaguardar la seguridad de la informacin
seguridad de la organizacin.
Permite disponer de una metodologa para la gestin de riesgos,
con el objetivo identificar, clasificar y valorar los riesgos que puedan
atentar contra la confidencialidad, integridad y disponibilidad de la
informacin.
Permite clasificar los activos de informacin en trminos de su valor,
27
requerimientos legales, sensibilidad y criticidad para la Entidad.
Permite determinar la efectividad de los controles existentes
orientados a proteger la seguridad de la informacin.
Permite establecer planes de tratamiento a los riesgos identificados.
Eficacia Permite medir la eficacia de los controles, medidas y actividades
tratamiento de establecidas para el cumplimiento de los planes de tratamiento de
riesgos los riesgos identificados.
Permite reaccionar de manera oportuna y gil ante incidentes de
seguridad gracias a un esquema claro de roles y responsabilidades,
minimizando as los impactos de la materializacin de una
vulnerabilidad.
Permite establecer un modelo o mecanismo para la gestin y
monitoreo de los incidentes de seguridad.
Permite contar con los mecanismos para la mejora continua de la
seguridad de la informacin, mediante la supervisin, revisin y
eficacia de los procesos implantados.
Promueve que los riesgos de la seguridad de la informacin sean
conocidos, asumidos, gestionados y minimizados por la
organizacin, as como, que los problemas de seguridad se
comuniquen de manera proactiva y oportuna.
Concienciacin Fomenta la cultura de seguridad de la informacin a todo nivel
en seguridad de dentro de la organizacin, mediante campaas y/o capacitaciones
la informacin en temas de seguridad.
Provee herramientas para fomentar en los funcionarios una mayor
concienciacin con relacin a la importancia de la seguridad,
evitando fugas de informacin.
Define un lenguaje comn dentro de la Entidad para referirse a la
proteccin de la informacin.
Ensea a los funcionarios sobre mejores prcticas y buenos hbitos
en materia de seguridad.
Una buena cultura de seguridad al interior de la organizacin y una
conciencia clara de cul es la informacin que se debe proteger,
evita inversiones innecesarias en seguridad y tecnologa.
De acuerdo a lo anterior, el establecimiento de un Sistema de Gestin de

Seguridad de la Informacin provee las condiciones de gobernabilidad,
oportunidad y viabilidad necesarias para lograr a cabalidad el objetivo deseable de
la situacin positiva a la que pretende llegar, la cual est relacionada con forjar un
Adecuado Modelo de Gestin de Seguridad de la Informacin.
28
3. MARCO DE REFERENCIA
3.1. MARCO TEORICO
Debido a la evolucin permanente de las tecnologas de la informacin y las

comunicaciones que demandan un mayor esfuerzo para garantizar la seguridad, a
las constantes amenazas que hoy en da atentan contra la seguridad de la
informacin que cada vez son ms especializadas, complejas y avanzadas, y a la
normatividad vigente que regula y exige una mayor proteccin y privacidad de los
datos sensibles, personales, comerciales y financieros de las personas, la
organizaciones deben contar con un modelo o Sistema de Gestin de Seguridad
de la Informacin basado en estndares de seguridad reconocidos a nivel mundial,
con el propsito de poder establecer y mantener un gobierno de seguridad
alineado a las necesidades y objetivos estratgicos del negocio, compuesto por
una estructura organizacional con roles y responsabilidades y un conjunto
coherente de polticas, procesos y procedimientos, que le permiten gestionar de
manera adecuada los riesgos que puedan atentar contra la confidencialidad,
integridad, disponibilidad, autenticidad, trazabilidad y no repudio de la seguridad
de la informacin.
Para lograr una adecuada gestin de la informacin es indispensable que las

organizaciones establezcan una metodologa estructurada, clara y rigurosa para la
valoracin y tratamiento de los riesgos de seguridad, con el objetivo de (i) conocer
el estado real de la seguridad de los activos de informacin a travs de los cuales
se gestiona la informacin del negocio, (ii) identificar y valorar las amenazas que
puedan comprometer la seguridad de la informacin y (iii) determinar los
mecanismos y medidas de seguridad a implementar para minimizar el impacto en
caso de las posibles prdidas de confiabilidad, integridad y disponibilidad de la
informacin.
Para efectos de tener claro los diferentes conceptos que se enuncian en este
marco terico, en el captulo 3.2. MARCO CONCEPTUAL (GLOSARIO DE
TERMINOS) se encuentran el glosario de los trminos con sus respectivas
definiciones, los cuales son utilizados a lo largo del presente trabajo de grado.
29
3.1.1. SEGURIDAD DE LA INFORMACION
La Seguridad de la Informacin, de acuerdo a la norma ISO 27000:2014 6, se
define como la preservacin de la confidencialidad, integridad y disponibilidad de
la informacin.
De acuerdo a la Asociacin Espaola para la Calidad [4], la Seguridad de la

Informacin tiene como propsito la proteccin de la informacin y de los sistemas
de la informacin contra las amenazas y eventos que atenten con el acceso, uso,
divulgacin, interrupcin y destruccin de forma no autorizada 7.
La informacin representa uno de los activos ms valioso de las organizaciones, lo

que implica que es indispensable asegurar su proteccin contra amenazas y
eventos que puedan llegar comprometer su confidencialidad, integridad y
disponibilidad. La informacin puede existir en diferentes medios tanto fsicos
como electrnicos, pero independientemente del medio, es necesario que las
organizaciones garanticen y aseguren la debida proteccin de la informacin
durante su recoleccin, almacenamiento, tratamiento y uso.
La seguridad de la informacin busca preservar la confidencialidad, integridad y

disponibilidad de la informacin mediante el establecimiento de un conjunto
coherente de procesos, normas y herramientas para la gestin eficaz de acceso a
la informacin, y la implementacin de mecanismos y medidas de seguridad tanto
fsicas como lgicas, orientadas a la prevencin y deteccin de amenazas internas
y externas que puedan atentar contra la seguridad de la organizacin y la
continuidad del negocio.
La seguridad de la informacin en una organizacin, es un proceso de mejora

continua que demanda la participacin activa de toda la organizacin y busca
preservar, entre otros, los siguientes principios de la informacin:
La confidencialidad, asegurando que solo las personas debidamente

autorizadas tengan acceso a la informacin.
La disponibilidad, asegurando que la informacin est totalmente disponible
para las personas debidamente autorizadas cuando ellos la requieran.
6
ISO/IEC 27000:2014, Tercera Edicin, Pg. 4
7
http://www.aec.es/web/guest/centro-conocimiento/seguridad-de-la-informacion
30
La integridad, asegurando que la informacin no sea modificada sin la debida
autorizacin.
La autenticidad, con el propsito de garantizar la identidad de la persona que
genera la informacin. La autenticidad de la informacin, es la capacidad de
asegurar que el emisor de la informacin es quien dice ser y no un tercero que
est intentando suplantarlo.
El no repudio, con el propsito de conocer exactamente quienes son los
actores que participan en una transaccin o una comunicacin y no puedan
negarlo en ningn momento. El no repudio evita que el emisor o el receptor
nieguen la transmisin de un mensaje8.
La trazabilidad, con el objetivo de poder monitorear o rastrear cualquier
operacin que se realiza sobre la informacin desde su mismo origen.
La seguridad de la informacin dentro de las organizaciones, depende del nivel de

proteccin y seguridad de sus activos de informacin, por lo tanto es fundamental
la implementacin de medidas y controles de seguridad adecuados, y el
permanente monitoreo, revisin y mejora de los mismos de manera proactiva con
el objetivo de garantizar su efectividad.
3.1.2. GESTION DE SEGURIDAD DE LA INFORMACION
La gestin de la seguridad de la informacin es un proceso continuo que consiste

en garantizar que los riesgos de la seguridad de la informacin sean identificados,
valorados, gestionados y tratados por todos los miembros de la organizacin de
una forma documentada, sistemtica, estructurada, repetible, eficiente y adaptada
a los cambios que se produzcan en los riesgos, el entorno y las tecnologas 9.
La gestin de la seguridad de la informacin requiere la participacin activa de

toda la organizacin con relacin a la planeacin, definicin, identificacin e
implementacin de controles y medidas orientadas a salvaguardar la seguridad de
la informacin, as como el debido control de acceso a los recursos y activos de
informacin.
La gestin de la seguridad de la informacin, implica que las organizaciones

clasifican sus activos de informacin en trminos de su valor, requerimientos
8
Wikipedia, Seguridad de la informacin
9
http://www.iso27000.es/sgsi.html
31
legales, sensibilidad y criticidad, con el propsito de identificar los riesgos que
pueden afectar su seguridad y determinar las medidas de prevencin, deteccin,
retardo y reaccin que se requieran implementar para controlar el acceder no
autorizado a las instalaciones, recursos, sistemas e informacin de la
organizacin, o cualquier amenaza proveniente del entorno, la naturaleza y las
acciones del hombre que pueda llegar a comprometer el normal funcionamiento y
operacin del negocio.
3.1.3. SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Con el objetivo de garantizar que las organizaciones realizan una correcta gestin
de la seguridad de la informacin, es necesario contar con un proceso sistemtico,
documento, conocido y adoptado por toda la organizacin, basado en un enfoque
de gestin de riesgos. Este proceso, es el que constituye un Sistema de Gestin
de Seguridad de la Informacin.
De acuerdo a la norma NTC-ISO-IEC 27001:201310, un sistema de gestin de

seguridad de la informacin tiene por finalidad preservar la confidencialidad,
integridad y disponibilidad de la informacin, a travs de la aplicacin de un
proceso de gestin del riesgo.
Un Sistema de Gestin de Seguridad de la Informacin, le permite a la

organizaciones gestionar de manera efectiva los riesgos asociados a la seguridad
sobre sus activos de informacin mediante la identificacin de las amenazas que
puedan llegar con comprometer la seguridad sus activos de informacin, lo cual,
genera confianza en sus partes interesadas debido a que demuestra que los
riesgos de la organizacin son debidamente gestionados.
Un Sistema de Gestin de Seguridad de la Informacin permite el establecimiento

de un gobierno de seguridad, soportado en una estructura organizacional,
responsabilidades, polticas, procedimientos, procesos y recursos, para gestionar
de manera adecuada la seguridad de la informacin. Proporciona una herramienta
que le ayuda a las organizaciones a establecer polticas, procedimientos, medidas
y controles de seguridad alineados a los objetivos de negocio, y provee los
elementos adecuados para la debida gestin de los riesgos con propsito de
poder mantener el riesgo por debajo del nivel definido por la organizacin.
10
NTC-ISO-IEC 27001:2013, Capitulo Introduccin
32
Un Sistema de Gestin de la Seguridad de la Informacin le permite a las
organizaciones tener una visin general del estado de proteccin y vulnerabilidad
de sus activos de informacin y de la efectividad de las medidas de seguridad que
se implementen, insumos que son fundamentales para apoyar la toma de
decisiones por parte de la alta directiva con relaciones a las estrategias a seguir.
La implementacin de un Sistema de Gestin de Seguridad de la Informacin, le

provee a las organizaciones un proceso de mejora continua que asegura la debida
y continua gestin de los riesgos de seguridad y permite la participacin activa de
toda la organizacin con relacin a la planeacin, definicin, identificacin e
implementacin de controles y medidas orientadas a salvaguardar la seguridad de
los activos de informacin de la organizacin.
3.1.4. NORMAS ISO/IEC 27000

La familia de las normas ISO/IEC 27000, son un marco de referencia de seguridad
a nivel mundial desarrollado por la International Organization for Standardization -
ISO e International Electrotechnical Commission IEC, que proporcionan un
marco, lineamientos y mejores prcticas para la debida gestin de seguridad de la
informacin en cualquier tipo de organizacin. Estas normas especifican los
requerimientos que deben cumplir las organizaciones para establecer,
implementar, poner en funcionamiento, controlar y mejorar continuamente un
Sistema de Gestin de Seguridad de la Informacin.
En Colombia, el Instituto Colombiano de Norma Tcnicas y Certificaciones,

ICONTEC, es el organismo encargado de normalizar este tipo de normas.
Las siguientes son algunas de las normas que componen la familia ISO/IEC
27000, las cuales sern el marco terico que se tendr en cuenta para efectos del
presente trabajo:
ISO/IEC 27000. Esta norma proporciona una visin general de los sistemas de
gestin de seguridad de la informacin y contiene los trminos y definiciones
que se utilizan en las diferentes normas de la 27000.
ISO/IEC 27001. La ltima versin de esta norma fue publicada a finales del
2013, y corresponde a la principal norma de la serie 27000 debido a que
contiene los diferentes requisitos para establecer, implementar, mantener y
33
mejorar continuamente un Sistema de Gestin de Seguridad de la Informacin
en las organizaciones independiente de su tipo, tamao o naturaleza. Esta
norma tambin incluye los requisitos para la valoracin y el tratamiento de
riesgos de seguridad de la informacin, adoptadas a las necesidades de la
organizacin11.
La versin 2013 de la norma ISO 27001, alineo su estructura conforme a los

lineamientos definidos en el Anexo SL12 de las directivas ISO/IEC, con el
objetivo de mantener la compatibilidad entre las normas ISO de sistemas de
gestin que se han ajustado a este anexo. Este enfoque de la estructura de la
nueva ISO27001:2013 basado en el Anexo SL, le ayuda a las organizaciones
que deseen integrar sus diferentes sistemas de gestin, como el de Calidad,
Ambiental, Seguridad de la Informacin, etc., en un nico sistema integrado de
gestin, debido a que las normas ISO que se han ajustado al Anexo SL,
manejan aspectos comunes como, la misma estructura de alto nivel e
idnticos ttulos de numerales, textos y trminos.
Los dominios de la norma ISO/IEC 27001:2013 corresponde a los diferentes

captulos que establecen los requerimientos que las organizaciones deben
cumplir para el establecimiento de un Sistema de Gestin de Seguridad de la
Informacin, los cuales se resumen a continuacin:
Tabla 4. Dominios de la norma ISO/IEC 27001:2013

0. INTRODUCCION
1. OBJETO Y CAMPO DE APLICACIN
2. REFERENCIAS NORMATIVAS
3. TRMINOS Y DEFINICIONES
4. CONTEXTO DE LA ORGANIZACIN
5. LIDERAZGO
6. PLANIFICACIN
7. SOPORTE
8. OPERACIN
9. EVALUACIN DE DESEMPEO
10. MEJORA
11
NTC-ISO-IEC 27001:2013, Pg. 1
12
Nuevo esquema definido por International Organization for Standardization - ISO para todos los
Sistemas de Gestin acorde al nuevo formato llamado Anexo SL, que proporciona una estructura
uniforme como el marco de un sistema de gestin genrico.
34
El Anexo A de la norma ISO 27001, contiene los diferentes objetivos de control
y controles que las organizaciones deberan tener en cuenta para la
planeacin e implementacin de su Sistema de Gestin de Seguridad de la
Informacin, los cuales se describen con ms detalle en la norma ISO 27002.
ISO/IEC 27002. Gua de buenas prcticas en seguridad de la informacin que

describe de forma detallada las acciones que se deben tener en cuenta para el
establecimiento e implementacin de los objetivos de control y controles
descritos de una forma general en el Anexo A de la norma ISO 27001.
ISO/IEC 27003. Gua que contiene aspectos necesarios para el diseo e

implementacin de un Sistema de Gestin de Seguridad de la Informacin de
acuerdo a los requerimientos establecidos en la norma ISO/IEC 27001, donde
se describe el proceso desde la planeacin hasta la puesta en marcha de
planes de implementacin.
ISO/IEC 27004. Gua para el desarrollo y utilizacin de mtricas y tcnicas de

medida aplicables para determinar la eficacia de un Sistema de Gestin de
Seguridad de la Informacin y de los objetivos de control y controles
implementados de acuerdo al Anexo A de la norma ISO 2700113.
ISO/IEC 27005. Esta norma establece los lineamientos para la gestin de

riesgos de seguridad de la informacin y est diseada para ayudar a las
organizaciones en la implementacin de un Sistema de Gestin de Seguridad
de la Informacin basada es un enfoque de gestin de riesgos. Entre otros
aspectos, establecer lo requerimiento que se deben tener en cuenta para el
proceso de valoracin de riesgos, relacionados con la identificacin, anlisis,
evaluacin y tratamiento de los riesgos en la seguridad de la informacin.
ISO/IEC 27006. Establece los requisitos relacionados en la norma ISO 27001

que deben cumplir las organizaciones para la acreditacin de entidades de
auditora y certificacin de Sistemas de Gestin de Seguridad de la
Informacin.
ISO/IEC 27035. Proporciona una gua sobre la gestin de incidentes de

seguridad en la informacin
13
http://www.iso27000.es/iso27000.html
35
3.1.5. CICLO DE MEJORA CONTINA VS NORMA ISO/IEC 27001:2013
El ciclo de mejora continua, tambin conocido como ciclo PDCA (del ingls plan-
do-check-act) o PHVA (planificar-hacer-verificar-actuar) o Ciclo de Deming por
ser Edwards Deming su creador, es uno de los sistemas ms usados para la
implementacin de un sistema de mejora continua, el cual establece los siguientes
cuatro pasos o fases esenciales que de forma sistemtica las organizaciones
deben llevar a cabo para lograr la mejora continua de sus sistemas de gestin:
Figura 2. Ciclo de mejora continua (Ciclo Deming)

Fuente: http://www.pdcahome.com/5202/ciclo-pdca/
Fase Planificar (Plan): En esta fase se establecen los objetivos a alcanzar y

las actividades del proceso susceptibles de mejora, as como los indicadores
de medicin para controlar y cuantificar los objetivos.
Pase Hacer (Do): En esta fase se ejecuta el plan establecido que consiste en
implementar las acciones para lograr mejoras planteadas.
Fase Verificar (Check): Una vez implantada la mejora, se establece un
periodo de prueba para verificar el correcto funcionamiento de las acciones
implementadas.
Fase Actuar (Act): Se analizan los resultados de las acciones implementadas
y si estas no se cumplen los objetivos definidos se analizan las causas de las
desviaciones y se generan los respectivos planes de acciones.
En la versin 2013 de la norma ISO/IEC 27001, no aparece la seccin de

Enfoque basado en procesos que exista en la versin 2005, lo cual brinda una
36
mayor flexibilidad en el momento de seleccionar o definir un modelo para la mejora
continua del Sistema de Gestin de Seguridad de la Informacin. Aunque en la
versin 2013, no se determina el modelo PHVA como requisito para estructurar los
procesos del Sistema de Gestin de Seguridad de la Informacin, la nueva
estructura de esta versin se puede alinear con el ciclo de mejora continua de las
modelos de gestin de la siguiente forma:
PLANEAR
4. CONTEXTO DE LA ORGANIZACION
5. LIDERAZGO
6. PLANIFICACION
7. SOPORTE
ACTUAR HACER
10. MEJORA 8. OPERACION
VERIFICAR
9. EVALUACION DEL
DESEMPENO
Figura 3. Ciclo de mejora continua alineado a la norma ISO 27001:2013

Fuente: Elaborada con base en la informacin publicada en la pgina web
http://www.welivesecurity.com/la-es/2013/10/09/publicada-iso-270002013-cambios-en-la-
norma-para-gestionar-la-seguridad-de-la-informacion/
El siguiente cuadro muestra la relacin entre las fases del ciclo de mejora continua
PHVA (planear, hacer, verificar y actuar) y la estructura de captulos y numerales
de la norma ISO 27001:2013:
Tabla 5. Fases PHVA vs Estructura ISO 27001:2013
Fase PHVA Capitulo ISO 27001:2013

PLANEAR 4. Contexto de la Organizacin
5. Liderazgos
6. Planificacin
7. Soporte
HACER 8. Operacin
VERIFICAR 9. Evaluacin de desempeo
ACTUAR 10. Mejora
37
Fase PLANEAR en la norma ISO 27001:2013
En el captulo 4 - Contexto de la organizacin14 de la norma ISO

27001:2013, se determina la necesidad de realizar un anlisis de las
cuestionas externas e internas de la organizacin y de su contexto, con el
propsito de incluir las necesidades y expectativas de las partes interesas de
la organizacin en el alcance del SGSI.
En el captulo 5 - Liderazgo15, se establece las responsabilidades y

compromisos de la Alta Direccin respecto al Sistema de Gestin de
Seguridad de la Informacin y entre otros aspectos, la necesidad de que la
Alta Direccin establezca una poltica de seguridad de la informacin
adecuada al propsito de la organizacin, aseguren la asignacin de los
recursos para el SGSI y que las responsabilidades y roles pertinentes a la
seguridad de la informacin se asignen y comuniquen.
En el captulo 6 - Planeacin16, se establece los requerimientos para la

valoracin y tratamiento de riesgos de seguridad y para la definicin de
objetivos viables de seguridad de la informacin y planes especficos para su
cumplimiento.
En el captulo 7 - Soporte17 se establece que la organizacin debe asegurar

los recursos necesarios para el establecimiento, implementacin y mejora
continua Sistema de Gestin de Seguridad de la Informacin.
Fase HACER en la norma ISO 27001:2013. En el captulo 8 - Operacin18

de la norma ISO 27001:2013, se indica que la organizacin debe planificar,
implementar y controlar los procesos necesarios para cumplir los objetivos y
requisitos de seguridad y llevar a cabo la valoracin y tratamiento de los
riesgos de la seguridad de la informacin.
Fase VERIFICAR en la norma ISO 27001:2013. En el captulo 9 -

Evaluacin del desempeo19, se define los requerimientos para evaluar
14
NTC-ISO-IEC 27001:2013, Pg. 1-2
15
Ibdem, Pg. 2-3
16
Ibdem, Pg. 4-6
17
Ibdem, Pg. 6
18
Ibdem, Pg. 8-9
19
Ibdem, Pg. 9-11
38
peridicamente el desempeo de la seguridad de la informacin y eficacia del
sistema de gestin de seguridad de la informacin.
Fase ACTUAR en la norma ISO 27001:2013. En el captulo 10 - Mejora20, se

establece para el proceso de mejora del Sistema de Gestin de Seguridad de
la Informacin, que a partir de las no-conformidades que ocurran, las
organizaciones deben establecer las acciones ms efectiva para solucionarlas
y evaluar la necesidad de acciones para eliminar las causas de la no
conformidad con el objetivo de que no se repitan.
3.2. MARCO CONCEPTUAL (GLOSARIO DE TERMINOS)
Activo de informacin: aquello que es de alta validez y que contiene informacin

vital de la empresa que debe ser protegida.
Amenaza: Es la causa potencial de un dao a un activo de informacin.
Anexo SL: Nuevo esquema definido por International Organization for

Standardization - ISO para todos los Sistemas de Gestin acorde al nuevo formato
llamado Anexo SL, que proporciona una estructura uniforme como el marco de
un sistema de gestin genrico.
Anlisis de riesgos: Utilizacin sistemtica de la informacin disponible, para

identificar peligros y estimar los riesgos.
Causa: Razn por la cual el riesgo sucede.
Ciclo de Deming: Modelo mejora continua para la implementacin de un sistema

de mejora continua.
Colaborador: Es toda persona que realiza actividades directa o indirectamente en

las instalaciones de la entidad, Trabajadores de Planta, Trabajadores Temporales,
Contratistas, Proveedores y Practicantes.
Confidencialidad: Propiedad que determina que la informacin no est disponible

a personas no autorizados
20
NTC-ISO-IEC 27001:2013, Pg. 11-12
39
Controles: Son aquellos mecanismos utilizados para monitorear y controlar
acciones que son consideradas sospechosas y que pueden afectar de alguna
manera los activos de informacin.
Disponibilidad: Propiedad de determina que la informacin sea accesible y

utilizable por aquellas personas debidamente autorizadas.
Dueo del riesgo sobre el activo: Persona responsable de gestionar el riesgo.
Impacto: Consecuencias de que la amenaza ocurra. Nivel de afectacin en el

activo de informacin que se genera al existir el riesgo.
Incidente de seguridad de la informacin: Evento no deseado o inesperado,

que tiene una probabilidad de amenazar la seguridad de la informacin.
Integridad: Propiedad de salvaguardar la exactitud y estado completo de los

activos.
Oficial de Seguridad: Persona encargada de administrar, implementar, actualizar

y monitorear el Sistema de Gestin de Seguridad de la Informacin.
Probabilidad de ocurrencia: Posibilidad de que se presente una situacin o

evento especfico.
Responsables del Activo: Personas responsables del activo de informacin.
Riesgo: Grado de exposicin de un activo que permite la materializacin de una

amenaza.
Riesgo Inherente: Nivel de incertidumbre propio de cada actividad, sin la

ejecucin de ningn control.
Riesgo Residual: Nivel de riesgo remanente como resultado de la aplicacin de

medidas de seguridad sobre el activo.
PSE: Proveedor de Servicios Electrnicos, es un sistema centralizado por medio

del cual las empresas brindan a los usuarios la posibilidad de hacer sus pagos por
Internet.
SARC: Siglas del Sistema de Administracin de Riesgo Crediticio.
SARL: Siglas del Sistema de Administracin de Riesgo de Liquidez.
40
SARLAFT: Siglas del Sistema de Administracin del Riesgo de Lavado de Activos
y Financiacin del Terrorismo.
SARO: Siglas del Sistema de Administracin de Riesgos Operativos.
Seguridad de la Informacin: Preservacin de la confidencialidad, la integridad y

la disponibilidad de la informacin (ISO 27000:2014).
SGSI: Siglas del Sistema de Gestin de Seguridad de la Informacin.
Sistema de Gestin de Seguridad de la informacin SGSI: permite establecer,

implementar, mantener y mejorar continuamente la gestin de la seguridad de la
informacin de acuerdo con los requisitos de la norma NTC-ISO-IEC 27001.
Vulnerabilidad: Debilidad de un activo o grupo de activos de informacin que

puede ser aprovechada por una amenaza. La vulnerabilidad de caracteriza por
ausencia en controles de seguridad que permite ser explotada.
41
4. METODOLOGIA
En el presente capitulo, se describe los mtodos utilizados para alcanzar la

solucin al problema planteado que corresponde a un Inadecuado Modelo de
Gestin de Seguridad de la Informacin de IGM S.A, teniendo en cuenta para
esto, los objetivos y el alcance que se plantearon en el presente trabajo de
investigacin.
La metodologa planteada pretende dar cumplimiento a los objetivos especficos

que se definieron con el propsito de poder alcanzar el objetivo general de
proyecto, para lo cual, esta metodologa tendr en cuenta el marco de referencia
de la norma ISO/IEC 27001:2013 que especifica, entre otros aspectos, los
requerimientos y actividades que se deben desarrollar para el diseo de un
4.1. TIPO DE INVESTIGACION

Tiendo en cuenta la caractersticas del proyecto, se emplear en el desarrollo del
mismo el mtodo investigacin de tipo factible, que de acuerdo al Manual de
Tesis de Grado y Especializacin y Maestra y Tesis Doctorales [5] de la
Universidad Pedaggica Experimental Libertador, consiste en la investigacin,
elaboracin y desarrollo de una propuesta de un modelo operativo viable para
solucionar problemas, requerimientos o necesidades de organizaciones o grupos
sociales; puede referirse a la formulacin de polticas, programas, tecnologas,
mtodos o procesos21. Con base en la anterior definicin, el presente trabajo
corresponde al anlisis y desarrollo de una propuesta para el diseo de un
Sistema de Gestin de Seguridad de la Informacin para entidad IGM S.A, de
acuerdo al alcance definido, las necesidades de la entidad y tomando para base
para ello el modelo de referencia de seguridad de la norma ISO/IEC 27001:2013.
Tambin, durante el desarrollo del proyecto se utilizara el mtodo de investigacin

de campo, que permite el anlisis sistemtico del problema en la realidad, con el
fin de describirlo, interpretarlo, entender su naturaleza y explicar sus causas y
21
Manual de Tesis de Grado y Especializacin y Maestra y Tesis Doctorales de la Universidad
Pedaggica Libertador, Pg.13.
42
efectos22. En este tipo de investigacin, la informacin de inters es recogida de
forma directa de la fuente, mediante encuestas, cuestionario, entrevista o
reuniones.
4.2. LINEA DE INVESTIGACION

Tomando como referencia la norma ISO/IEC 27001:2013, se puede determinar
que la lnea de investigacin del presente trabajo esta relacionados con los
siguientes temas: Tecnologa de la informacin, Seguridad de la Informacin,
Gestin de la Seguridad, Gestin de Riesgos y Sistema de Gestin de Seguridad
de la Informacin.
4.3. INSTRUMENTOS DE RECOLECCION DE INFORMACION

Para el desarrollo del presente trabajo de grado, se utilizaron los siguientes
mecanismos e instrumentos para la recoleccin de informacin:
Cuestionario.
Observaciones.
Entrevistas con funcionarios y sobre todo con el personal de la Direccin
de Tecnologa de la Entidad.
Documentacin existente en el sistema de gestin calidad de la entidad.
Evaluacin con base en la experiencia del autor.
Tambin, se us de diferentes fuentes de informacin, tales como tesis, libros,

textos, revistas, normas, etc., existentes tanto en medios fsicos, electrnicos y
publicados en Internet.
4.4. FASES METODOLOGICAS

Teniendo en cuenta los requerimientos establecidos en la norma ISO/IEC
27001:2013 para el diseo del Sistema de Gestin de Seguridad de la
Informacin, se establecieron las siguientes fases para el desarrollo del proyecto:
22
Manual de Tesis de Grado y Especializacin y Maestra y Tesis Doctorales de la Universidad
Pedaggica Libertador, Pg.11
43
Diagnostico del SGSI Preparacin del SGSI Planificacin del SGSI
Identificar el nivel de Entender el contexto de la Valorar riesgos de

madurez inicial de la entidad para definir el seguridad y definir planes
entidad con respecto al alcance y la poltica del de tratamiento
modelo de seguridad de la SGSI Establecer el marco de
informacin que plantea la politicas de seguridad de la
norma ISO/IEC 27001:2013 informacin y lineamientos
para su debida gestin.
Figura 4. Fases para la diseo del SGSI

Fuente: El autor
Para llevar a cabo las fases propuestas para el diseo del Sistema de Gestin de
Seguridad de la Entidad, las siguientes son las actividades a realizar:
Diseo del SGSI
Fase I - Diagnostico Fase II - Preparacin Fase III - Planificacin
Clasificar los activos de

Identificar el estado actual de Analizar el Contexto
informacin del proceso de
la Gestin de Seguridad Organizacional
TI
Realizar la valoracin de
Definir el alcance del SGSI riesgos de seguridad de la
informacin
Definir los planes de accin

Definir la poltica del SGSI
para mitigar los riesgos
Definir la estructura Elaborar el manual de

organizacional de la Entidad poltica de seguridad de la
en funcion de la seguridad. informacin
Elaborar procedimiento
para la gestin de
incidentes de seguridad.
Figura 5. Fases para el diseo del SGSI de la Entidad

Fuente: El autor
44
Fase I - Diagnostico.
Corresponde a las actividades para identificar el nivel de madurez inicial de la

Entidad con respecto al modelo de seguridad de la informacin que plantea la
norma ISO/IEC 27001:2013.
Para la recoleccin de la informacin, en esta fase se utilizarn mecanismo como:
Diligenciamiento de cuestionarios con el objetivo de determinar el nivel de

cumplimiento de le entidad con relacin a los dominios de la norma ISO/IEC
27001:2013.
Documentacin existente en el sistema de calidad de la entidad relacionada
con la informacin de las partes interesadas de la entidad y los roles y
funciones asociados a la seguridad de la informacin.
Fuentes externas, como las guas de autoevaluacin, encuesta y
estratificacin dispuestas por la estrategia de gobierno en lnea Ministerio de
Tecnologas de la Informacin y las Comunicaciones.
Fase II - Preparacin
Corresponde a las actividades que se desarrollaran para establecer el Sistema de

Gestin de Seguridad de la Informacin, las cuales corresponde a:
Analizar el contexto organizacin, que de acuerdo a los requerimientos

establecidos en el Captulo 4.1 Conocimiento de la organizacin y de su
contexto23 de la norma ISO/IEC 27001:2013, corresponde a determinar las
cuestiones externas e internas de la organizacin que son pertinentes para la
implementacin del Sistema de Gestin de Seguridad de la Informacin.
Definir el alcance del SGSI, en el cual se establece los lmites y la aplicabilidad
del Sistema de Gestin de Seguridad de la Informacin24.
Definir la poltica del Sistema de Gestin de Seguridad de la Informacin.
Definir la estructura organizacional de la Entidad que contendr los roles y
responsabilidad pertinentes a la seguridad de la informacin.
Fase III Planificacin.
23
NTC-ISO-IEC 27001:2013, Pg. 1
24
Ibdem, Pg. 2
45
Esta fase contempla las actividades relacionadas con:
Identificar los activos de informacin del proceso de gestin de tecnologa y

clasificarlos de acuerdo a su criticidad y proteccin.
Realizar la valoracin de riesgos de seguridad de la informacin de acuerdo al
alcance del SGSI.
Definir los planes de accin que incluya los controles a implementar con el
objetivo de mitigar los riesgos identificados en el proceso de valoracin de
riesgos. Para la seleccionar de los controles, se tomar como base los
objetivos de control y los controles establecidos en el Anexo A de la norma
ISO/IEC 27001:2013.
Elaborar la declaracin de aplicabilidad, que corresponde a un documento que
contiene los objetivos de control y controles seleccionados del anexo A de la
norma ISO/IEC 27001:2013, su nivel de cumplimiento y los motivos para su
eleccin o exclusin.
Elaborar el manual de poltica de seguridad de la informacin, que corresponde
a un documento que contiene las polticas y los lineamientos que se
implementaran en la Entidad con el objetivo de proteger la disponibilidad,
integridad y confidencialidad de la informacin.
Elaborar el procedimiento para la gestin de incidentes de seguridad, que
corresponde a un documento que contiene el proceso para el reporte, atencin
y respuesta a incidencias de seguridad.
El desarrollo de las fases que se plantearon en esta metodologa para el diseo

del Sistema de Gestin de Seguridad de la informacin de la entidad, se
encuentran descritas y desarrolladas en el prximo captulo.
46
5. DISEO DEL SISTEMA DE GESTION DE SEGURIDAD DE LA
INFORMACION
Este captulo corresponde al desarrollo de las diferentes fases que se definieron

para el diseo del Sistema de Gestin de Seguridad de la Informacin de la
empresa IGM S.A, las cuales contemplan una serie de actividad cuya ejecucin
permiten alcanzar los objetivos especficos que establecidos para el logro del
objetivo general del presente trabajo de grado.
A lo largo de este captulo, se relaciona los diferentes elementos, insumos, datos

recolectados, valoraciones y clculos realizados para el desarrollo de cada una de
las actividades de las fases de la metodologa definida para el diseo del Sistema
de Gestin de Seguridad de la Informacin de la Entidad.
Los siguientes son algunos de estos elementos:
La informacin o datos que se obtuvieron a travs de las diferentes tcnicas

de recoleccin de informacin y que utilizaron con insumo para llevar a cabo
los respectivos anlisis y diagnsticos.
El resultado de cada uno de los anlisis realizados.
El resultado del proceso de valoracin de riesgos.
Los captulos de la norma ISO/IEC 27001:2013 que contienen los
requerimientos de seguridad que se deben cumplir.
Los objetivos de control y controles relacionados en el Anexo A de la norma
ISO/IEC 27001:2013.
5.1. FASE I. DIAGNOSTICO

En este captulo se presentan los diagnsticos que se realizaron con el objetivo de
poder tener un conocimiento inicial de la situacin que presenta la entidad frente al
establecimiento de un Sistema de Gestin de Seguridad de la Informacin basado
en la norma ISO/IEC 27001:2013.
5.1.1. DIAGNOSTICO ESTADO ACTUAL DE LA SEGURIDAD

El captulo 1.1.3. DIAGNOSTICO SITUACION PROBLEMA del presente
documento, presenta un anlisis detallado de las diferentes situaciones que
afectan la seguridad de la entidad que permitieron establecer que el problema est
asociado a un Inadecuado Modelo de Gestin de Seguridad de la Informacin.
47
En trminos general, las siguientes fueron las situaciones identificadas:
Falta de un adecuado Gobierno de Seguridad en la Entidad.

La falta de concienciacin, apropiacin y conocimiento en temas de
seguridad por parte de todos los funcionarios
No existe una participacin activa de toda la organizacin en la definicin
de controles de seguridad basados en una evaluacin de riesgos
Los funcionarios no conciben la diferencia entre seguridad informtica y
seguridad de la informacin
No se cuentas con un sistema de informacin adecuado para la gestin de
riesgos de seguridad.
No existe una valoracin de riesgos de seguridad.
La poltica de seguridad no est alineada con los objetivos del negocio.
5.1.2. IDENTIFICACION ESTRATIFICACION DE LA ENTIDAD

La identificacin del nivel de estratificacin de la entidad permite identificar de
forma general, el nivel de complejidad que le puede significar a la entidad la
implementacin de su Sistema de Gestin de Seguridad de la Informacin. Para lo
cual, se tom como referencia el mtodo planteado en el documento ANEXO 3:
ESTRATIFICACIN DE ENTIDADES del modelo seguridad de la informacin
para la estrategia de Gobierno en Lnea 2.0 [6], el cual define tres tipos de estratos
de entidades: bajo, medio y alto25, y cuyo valor se obtiene al realizar una
evaluacin de los siguientes aspectos: el valor del presupuesto de funcionamiento,
la infraestructura asociada al nmero total de computadores, los servicios
ofrecidos en lnea y el tamao y capacidad del rea de sistemas26.
Para establecer el nivel de estratificacin de la entidad se utiliz el formato

relacionado en el Anexo A del presente trabajo de grado, el cual, se muestra a
continuacin con las respuestas que fueron seleccionadas de acuerdo a la
informacin suministrada por la entidad y el respectivo el puntaje asignado a cada
una de ellas, puntajes que fueron sumados para as obtener el valor de
estratificacin de la entidad:
25
Anexo 3: Estratificacin de Entidades - Modelo seguridad de la informacin para la estrategia de Gobierno
en Lnea 2.0, Pg. 8.
26
Ibdem.
48
Tabla 6. Valoracin estratificacin de la entidad
PARAMETROS DE
OPCIONES DE RESPUESTA PUNTOS OBSERVACION
EVALUACION
Menos de 3,000 millones de pesos Para el 2014:
$146.362.311.000.
Presupuesto Entre 3.000 millones y 50.000 millones de pesos 3
Fuente: rea de
Ms de 50.000 millones de pesos Contabilidad.
Menos de 100 computadores
Nmero total de Dato suministrado por la
Entre 100 y 500 computadores 3
computadores direccin de tecnologa.
Ms de 500 computadores
Menos de 4 Servidores
Nmero de Dato suministrado por la
Entre 4 y 20 Servidores 3
Servidores direccin de tecnologa
Ms de 20 Servidores
Nmero Menos de 6 empleados
Dato suministrado por la
Empleados de Entre 6 y 50 empleados 2
direccin de tecnologa
Tecnologa Ms de 50 empleados
No hay rea de sistemas o tecnologa como tal
rea de tecnologa enfocada en la operacin del da
Existencia y a da, que cumple labores en su mayora
funcin del rea REACTIVAS Dato suministrado por la
Punto anterior ms rea de sistemas que planea y 3
de sistemas direccin de tecnologa
(tecnologa). desarrolla proyectos nuevos o de actualizacin,
administra su presupuesto y desarrolla labores
proactivas a travs de comits y participacin en
decisiones corporativas
WAN pblica (p.ej. Internet) slo para usar correo y
navegar. Incluye servidores de correo y Web en
hosting.
Existencia y WAN pblica (p.ej. Internet) con servicios ofrecidos Dato suministrado por la
3
objeto de la WAN. al ciudadano. Puede o no haber desarrollos direccin de tecnologa
sofisticados de transaccionalidad.
Lo anterior ms la existencia de una WAN privada
(no incluye VPN a travs de Internet)
Solo ofrece servicios de consulta (pginas WEB
estticas y correo electrnico) Dato suministrado por la
Transaccionalidad local. Generacin de servicios y direccin de tecnologa.
Transaccionalida
seguimiento de trmites, solo con base en datos y 3 Aplicacin web para el
d en la WEB.
aplicativos propios. pago de crditos por
Lo anterior ms interaccin con aplicativos, datos y PSE
servicios de otras entidades y/o terceros
No desarrolla software. Incluye aquellas entidades
que tienen en hosting una pgina WEB bsica e
informativa y un servidor de correo.
Desarrollo de S desarrolla software pero solo para aplicativos Dato suministrado por la
2
Software. internos. Hay que aclarar que este desarrollo puede direccin de tecnologa.
ser interno o en outsourcing (realizado por terceros).
S desarrolla software para aplicativos externos. S
publica informacin transaccional.
TOTAL PUNTOS 22
49
El puntaje total de la estratificacin se determina por la suma de los puntajes
independientes obtenidos de cada una de las respuestas, que para el caso de la
entidad es igual a 22 puntos.
El nivel de estratificacin de la entidad, de acuerdo al puntaje obtenido, se

determina con base en los rangos de valores relacionados en la siguiente tabla:
Tabla 7. Rangos de Estratificacin de Entidades27

RANGO DE PUNTOS ESTRATO
Menor a 10 puntos BAJO
Entre 11 y 22 puntos MEDIO
Mayor a 22 puntos ALTO
De acuerdo al puntaje obtenido por la entidad, 22 puntos, el nivel de

estratificacin de la misma se encuentra clasificado en un nivel MEDIO, lo que
inicialmente implicara un esfuerzo considerable para la implementacin de su
Con base en la informacin suministrada por la Entidad para determinar su nivel

de estratificacin, se realizaron los siguientes anlisis:
El presupuesto de la entidad para el ao 2014 fue aproximadamente de

$146.362.311.000, lo que supondra que la entidad pude asegurar la
disponibilidad de los recursos necesarios para el Sistema de Gestin de
Seguridad de la Informacin de acuerdo a lo establecido en el numeral c) del
captulo 5.1 Liderazgo y Compromiso de la norma ISO/IEC 27001:201328.
El nmero de computadores y servidores que posee la entidad, implica un
mayor esfuerzo para garantizar la seguridad de estos activos de informacin,
por lo tanto, es esencial que se incluyan en el proceso de valoracin de riesgos
para determinar su nivel de proteccin y las medidas de seguridad a
implementar para salvaguardarlos. Lo anterior es indispensable para cumplir
los requerimientos establecidos en los controles 6.1.2 Valoracin de riesgos
27
en Lnea 2.0, Pg. 12.
28
Norma ISO/IEC 27001:2013, Pg. 2
50
de la seguridad de la informacin29 y 6.1.3 Tratamiento de riesgos de la
seguridad de la informacin30 de la norma ISO/IEC 27001:2013.
El nmero de empleados de la area de tecnologa, refleja el tamao de la
entidad y los recursos que implica atender los requerimientos de los usuarios y
la prestacin de los servicios de tecnologa. A pesar de que el rea de
tecnolgica cuenta con estos recursos humanos, los mismos pueden no ser
suficientes para la implementacin de las medidas y controles que se
establezcan productos de los diagnsticos y valoracin de riesgos de
seguridad que se realicen. Por lo tanto, este un factor que puede implicar un
mayor esfuerzo para la implementacin de su Sistema de Gestin de
El rea de tecnologa de la entidad, adems de administrar y proveer los
recursos tecnolgicos, planea y desarrolla proyecto, factor fundamente en caso
de requerir la implementacin planes de accin y/o medidas de seguridad que
impliquen el establecimiento de un proyecto para su ejecucin.
5.1.3. NIVEL DE CUMPLIMIENTO ANEXO A - ISO 27001:2013

Por medio de este anlisis, se estableci el nivel de cumplimiento de la entidad
con relacin a los objetivos de control y controles definidos en el Anexo A de la
norma ISO/IEC 27001:2013, cuyo resultado permiti definir una serie de acciones
orientas a poder cerrar las brechas encontradas que deben ser implementadas por
la entidad en la fase de operacin del SGSI con el objetivo de asegurar la
integridad, confidencialidad y disponibilidad de su informacin.
Para realizar este diagnstico se utiliz una lista de chequeo basada en un

conjunto de preguntas con opcin de respuesta SI o NO, que fue respondida por
funcionarios de las reas de la entidad de acuerdo al objetivo de control que se
estaba evaluando. Las reas que participaron en esta evaluacin fueron, la
Vicepresidencia de Riesgos, Direccin de Tecnologa, Gestin Humana y Jefatura
de Recursos Fsicos, ya que los controles de la norma ISO/IEC 27001:2013 estn
orientados a proteger la seguridad de las personas, de la infraestructura fsica y
lgica, de los recursos tecnolgicos y por ende de la informacin.
29
30
Ibdem, Pg. 5
51
El formato utilizado para realizar este diagnstico corresponde al ANEXO B del
presente documento, el cual, contiene las preguntas que se plantearon para
evaluar cada uno de los controles y las respectivas respuestas dadas por los
usuarios. Con base en la informacin recopilada, los siguientes son los resultados
del anlisis realizado:
De acuerdo a la siguiente grfica, el nivel de cumplimiento de la entidad con

relacin a los controles del Anexo A de la norma ISO 27001:2013, es de 46.09%:
Figura 6. Nivel de cumplimiento controles Anexo A ISO 27001:2013

Fuente: El autor
Lo anterior significa que la implementacin del Sistema de Gestin de Seguridad

de la informacin de acuerdo al nivel de cumplimiento de los controles
establecidos en el Anexo A de la norma ISO/IEC 27001:2013, le implicar a la
entidad un refuerzo considerable debido a la ausencia de controles o al bajo grado
de cumplimiento de muchos de ellos. Algunos de estos controles requieran la
adquisicin, adecuacin o mejora de mecanismos y herramientas tecnolgicas con
el propositivo de poder garantizar su debida efectividad, lo que implica, que en
algunos de estos casos la entidad deber adelantar procesos de contratacin para
la adquisicin de soluciones tecnolgicas cuyos costos pueden ser elevados y su
implementacin puede demandar un tiempo considerable.
El nivel de cumplimiento de los controles del Anexo A de la ISO 27001:2013

indica, el grado de madures de la entidad frente a la gestin de la seguridad de la
informacin, el nivel de proteccin de sus activos de informacin, el nivel de
cumplimiento de la normatividad vigente relacionada con seguridad de la
informacin y el nivel de riesgos de la entidad a partir de los controles
52
implementados de acuerdo al cumplimiento riguroso de los requerimientos
establecidos en la norma.
El modelo de seguridad de la informacin para la estrategia de gobierno en lnea,

SISTEMA SANSI [7], determina que el nivel de riesgo de las entidades a partir del
nivel de cumplimiento de los controles se clasifica en Alto, Medio y Bajo31. Con
base en esta clasificacin se defini la siguiente tabla de medicin:
Tabla 8. Nivel de riesgos vs nivel cumplimiento controles

Porcentaje
cumplimiento Nivel de riesgo e implicaciones
controles
Alto Bajo Los controles de seguridad que se tienen implementados

demuestran un grado alto de madures de la entidad hacia la
seguridad de la informacin y un nivel apropiado de proteccin
de sus activos de informacin. Esta situacin representa un
riesgo bajo para la entidad.
Medio Medio La entidad cuenta con controles implementados, algunos de ellos

no documentos o no adecuados, que requieren su revisin en un
medio plazo para mejorar su efectividad y su cumplimiento. Esta
situacin representa un Riesgo Medio para la entidad debido a la
presencia de debilidades en algunos de sus controles que
pueden ser aprovechadas por amenazas internas o externas
para atentar contra la seguridad de la informacin. Tambin es
necesario revisar el nivel cumplimiento de la normatividad
vigente relacionada con seguridad de la informacin.
Bajo Alto La ausencia de controles o el bajo grado de cumplimiento de los

mismos, representa un riesgo ALTO para la entidad debido al
inadecuado nivel de proteccin de sus activos de informacin y/o
al incumplimiento de la normatividad vigente relacionado con
seguridad de la informacin. Para este caso, es necesario que se
implementen con carcter urgente las medidas de seguridad en
un corto plazo con el objetivo de cerrar las brechas encontradas.
De acuerdo al nivel de cumplimento frente al Anexo A de la norma ISO/IEC

27001:2013, la entidad se encuentra en un grado MEDIO de implementacin
(46.09%) de los requerimientos establecidos en los objetivos de control y controles
31
Modelo de Seguridad de la Informacin, SISTEMA SANSI - SGSI Modelo de Seguridad de la
informacin para la estrategia de gobierno en lnea, Pg., 47.
53
de este anexo y en un nivel de riesgo MEDIO con relacin al nivel de proteccin y
efectividad de los controles implementados.
El siguiente es el resultado de la evaluacin de cada uno de los objetivos de

control del Anexo A de la norma ISO/IEC 27001:2013:
Figura 7. Nivel Cumplimiento Objetivos de Control Anexo A ISO 27001:2013

Fuente: Autor
OBJETIVOS DE CONTROL CON NIVEL DE CUMPLIMIENTO BAJO

Los siguientes son los objetivos de control del Anexo A de la norma ISO/IEC
27001:2013 cuyo cumplimiento por parte de la entidad se encuentran en un nivel
BAJO (menor o igual al 33%), lo que representa un riesgo ALTO para la entidad
debido a la ausencia o inadecuada implementacin de los controles que generan
un nivel de bajo proteccin de sus activos de informacin y/o en algunos casos, el
incumplimiento de la normatividad vigente relacionado con seguridad de la
informacin.
54
Tabla 9. Objetivos de control con nivel BAJO de cumplimiento
OBJETIVO DE CONTROL % CUMPLIMIENTO

A.10 CRIPTOGRAFIA 0%
A.16 GESTIN INCIDENTES DE SEGURIDAD DE LA INFORMACIN 14%
A.6 ORGANIZACIN DE SEGURIDAD DE LA INFORMACION 24%
A.18 CUMPLIMIENTO 30%
A.5 POLITICAS DE LA SEGURIDAD DE LA INFORMACION 33%
A.10 Criptogrfica (0%)

Tiene por objetivo asegurar el uso apropiado y eficaz de mecanismo
criptogrficos para proteger la confidencialidad, autenticidad e integridad de la
informacin32. La entidad no cuenta con mecanismos de cifrado para proteger
la informacin en trnsito y/o reposo, lo cual representa un riesgo de nivel
ALTO debido que no se garantizar la confidencialidad, integridad, autenticidad
y no repudio de la informacin sensible de la entidad que se intercambia entre
las reas o con terceros. Esta situacin, adems de poner en riesgo la
informacin sensible de la entidad, puede implicarle sanciones legales por
incumplimiento normativo que exige la debida proteccin de la informacin.
Por lo tanto, es necesario que la entidad implemente cuanto antes los debidos
mecanismos de cifrado con el objetivo de asegurar la confidencialidad,
autenticidad e integridad de la informacin, tales como: cifrado de correos,
portal de intercambio seguro y cifrado del almacenamiento de dispositivos
movibles y porttiles.
A.16 Gestin de Incidentes de seguridad de la informacin (14%)

La entidad no cuenta con un proceso de gestin de incidentes de seguridad de
la informacin, por lo tanto, es necesario establecer el respectivo proceso con
el objetivo de asegurar un enfoque coherente y eficaz para la debida gestin de
los incidentes de seguridad y con esto proveer a la entidad de un mecanismo
para el reporte, evaluacin y respuesta a los incidentes de seguridad de la
informacin.
A.6 Organizacin de la seguridad de la informacin (24%)
32
55
La entidad no tiene definidos todos los roles y responsabilidades de la
seguridad de la informacin, la cual es una de las responsabilidades que debe
garantizar la Alta Direccin y que es esencial para forjar un adecuado Sistema
de Gestin de Seguridad de la Informacin.
Tambin se encontr que los encargados de la seguridad de la informacin no

mantienen un contacto con grupos de inters especializados en seguridad de
la informacin, lo cual, es esencial para conocer las tendencias del mercado y
las nuevas amenazas que surgen y que atentan contra la seguridad de la
informacin, por lo tanto, es indispensables que la entidad comience a
participar en eventos, foros, asociaciones y otros organizamos relacionados
con seguridad de la informacin.
A.18 Cumplimiento (30%)

Dentro de este objetivo de control, est el control A.18.1.5 Reglamentacin de
controles criptogrficos, que indica que la entidad debe establecer controles
criptogrficos, en cumplimiento de todos los acuerdos, legislaciones y
reglamentacin pertinentes33. Debido a que la entidad no cuenta con
mecanismo de cifrado no cumple con este control. Por lo tanto, se requiere que
la implementacin cuanto antes de los debidos mecanismos de cifrado con el
objetivo de asegurar la confidencialidad, autenticidad e integridad de la
informacin.
Tambin se encontr que los controles relacionados con el objetivo A.18.2

Revisiones de seguridad de la informacin no estn implementados en la
entidad, los cuales son indispensables para asegurar la adecuada
implementacin del sistema de gestin de seguridad de la informacin de
acuerdo a las polticas y procedimientos organizaciones34.
A.5 Polticas de seguridad de la informacin (33%)

Actualmente, las polticas relacionadas con seguridad de la informacin estn
definidas en el Manual de Polticas de Seguridad Informtica del proceso de
tecnologa. Esta manual no est aprobado ni es revisado por la Alta Direccin
lo que dificulta su cumplimento por parte de los empleados y terceros que
proveen servicios de la entidad. Por lo tanto, es necesario el establecimiento
33
34
Ibdem
56
de unas polticas de seguridad aprobadas por la Alta Direccin para garantizar
su debida implementacin, actualizacin y cumplimiento.
OBJETIVOS DE CONTROL CON NIVEL DE CUMPLIMIENTO MEDIO

MEDIO (mayor a 33% y menor 70%), lo que implica un riesgo MEDIO para la
seguridad de la informacin de la entidad, debido a que algunos de los controles
no estn debidamente implementados, documentados o formalizados, o presentan
debilidades que pueden ser aprovechadas por amenazas internas o externas para
atentar contra la seguridad de la informacin de la Entidad.
Tabla 10. Objetivos de control con nivel MEDIO de cumplimiento

A.14 ADQUISICIN, DESARROLLO Y MANTENIMIENTO DEL SISTEMA 37%
A.8 GESTION DE ACTIVOS 43%
A.7 SEGURIDAD DE LOS RECURSOS HUMANOS 47%
A.15 RELACIONES CON LOS PROVEEDORES 54%
A.17 CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACION 58%
A.9 CONTROL DE ACCESO 61%
A.14 Adquisicin, desarrollo y mantenimiento del sistema (37%)

El nivel de cumplimiento de control se debe a las siguientes situaciones:
- La entidad no incluye los requisitos relacionados con seguridad de la
informacin en las especificaciones y requerimientos para el diseo y
desarrollo sistemas de informacin, tal cual, como lo especifica el control
A.14.1.1 del Anexo A de la norma ISO/IEC 27001:201335.
- No siempre se realizan las verificaciones tcnicas a las aplicaciones crticas
del negocio cuando se realizan cambios en la plataforma de procesamiento
de la entidad, situacin que no garantiza la norma operacin, disponibilidad
y seguridad de los servicios de TI una vez realizado los cambios.
- La entidad no cuenta con un procedimiento adecuado de control de
versionamiento del software, lo que genera en algunos casos que se
35
57
presenten incidentes o problemas cuando se realizando cambios de las
aplicaciones en el ambiente de produccin.
- No existe un proceso controlar para el manejo de datos en los ambientes de
produccin, lo que genera un riesgo alto debido a que no se garantiza la
debida proteccin y privacidad de los datos sensibles de la entidad.
- Durante el desarrollo de las aplicaciones no se incluyen pruebas de
seguridad, lo que puede generar debilidades o vulnerabilidad en los
ambientes productivos que pueden ser aprovechas por amenazas para
atentar contra la disponibilidad, integridad y confidencialidad de los activos
de informacin de la entidad.
Por lo tanto, es indispensable implementar controles adecuados y efectivos, o

fortalecer los existentes, con el objetivo de asegurar que la seguridad de la
informacin sea parte del ciclo de vida del desarrollo de aplicaciones de la
entidad y con ello garantizar que los cambios que se realizan en produccin no
afecten la seguridad de la informacin.
A.8 Gestin de activos (43%)

La entidad no tiene identificados todos los activos de informacin a travs de
los cuales se gestiona la informacin del negocio, lo cual, representa un riesgo
en la medida que no tiene conocimiento del estado general de la criticidad y
proteccin de sus activos de informacin. Lo anterior implica, que es necesario
realiza una identificacin y clasificaciones de los activos de la entidad con el
objetivo de determinar su nivel de relevancia de acuerdo su necesidad,
prioridad y nivel de proteccin.
La entidad no tiene establecidos los lineamientos para el uso aceptable de los

activos de informacin asociados con la informacin e instalaciones de
procesamiento de informacin, lo que genera que los usuarios desconozcan
sus responsabilidades y consecuencia de sus acciones.
A.7 Seguridad de los recursos humanos (47%)

No se cuenta con un mecanismo que permite garantizar que los empleados y
terceras partes que brindan servicios para la entidad, estn debidamente
informados sobre las funciones y las responsabilidades respecto a la seguridad
de la informacin antes de que se les autorice el acceso a la informacin o a
los sistemas de informacin, por lo tanto, es fundamental que para los nuevos
58
empleados se les instruya sobre sus responsabilidades y consecuencias de
sus acciones entorno a la seguridad de la informacin.
La entidad no cuenta con un plan anual de capacitacin y formacin en

seguridad de la informacin para sus empleados, lo que genera en algunos
casos la poca efectividad de los controles implementados.
A.15 Relaciones con los proveedores (54%)

No existe una poltica de seguridad que defina los lineamientos de seguridad
para la relacin con los proveedores con el propsito de evitar accesos no
autorizados a la informacin de la Entidad.
Por otra parte, no todos los contratos que se suscriben con terceros tienen
acuerdo de confidencialidad de la informacin, lo que representa un riesgo en
la medida que dichos terceros tengan acceso informacin confidencial y/o
sensible de la Entidad.
A.17 Continuidad de la seguridad de la informacin (58%)

Dentro del plan de continuidad del negocio de la entidad no se tiene
contemplados los requisitos para garantizar la seguridad de la informacin en
situaciones adversar que pueden comprometer la disponibilidad de los
servicios de TI. El plan de continuidad, est orientado a asegurar las
condiciones operativas y tcnicas que permitan garantizar la continuidad de los
servicios crticos de la entidad. Por lo tanto, es necesario establecer,
documentar, implementar y mantener los procesos, procedimientos y controles
necesarios para asegurar el nivel de continuidad requerido con el objetivo de
garantizar la seguridad de la informacin en situaciones adversas.
A.9 Control de acceso (61%)

El nivel de cumplimiento de este control se debe a los siguientes aspectos:
- La identificacin del equipo no hace forma parte del esquema de
autenticacin de los usuarios al directorio activo de la entidad, solo se
contempla los datos de autenticacin (usuario y contrasea) para verificar la
validez de usuario.
- La entidad no cuenta con un procedimiento para la asignacin, control y
restriccin de derechos de acceso y privilegios sobre sus recursos
tecnolgicos y aplicaciones.
59
- No se cuenta con un procedimiento para la gestin de contraseas en los
sistemas base de la entidad.
- No se audita los derechos de acceso de manera regular.
- Los usuarios administradores y propietarios de los activos de informacin
no revisan los derechos de acceso de los usuarios de manera regular.
Las anteriores situaciones representan un riesgo para la entidad debido a la

ausencia o falencia de algunas medidas de seguridad de control de acceso,
que puede generar la posibilidad de la materializacin de amenazas
relacionadas con abuso de privilegios, accesos no autorizados o uso indebido
de la informacin, y con ello afectar seriamente la seguridad de la informacin,
la continuidad del negocio y la integridad, confidencialidad, disponibilidad,
autenticidad y trazabilidad de los activos de informacin involucrados en el
proceso de Gestin de Identidad y Control de Acceso a los recursos
tecnolgicos de la entidad.
OBJETIVOS DE CONTROL CON NIVEL DE CUMPLIMIENTO ALTO

ALTO (mayor al 70%), lo que representa un riesgo BAJO debido a los controles
implementados garantizan la debida proteccin de sus activos de informacin.
Tabla 11. Objetivos de control con nivel ALTO de cumplimiento

A.13 SEGURIDAD DE LAS COMUNICACIONES 75%
A.11 SEGURIDAD FISICA Y DEL ENTORNO 76%
A.12 SEGURIDAD DE LAS OPERACIONES 92%
A.13 Seguridad de las comunicaciones (75%)
Este objetivo de control de encuentra en un nivel de cumplimiento ALTO

debido a que las redes de la entidad son debidamente administradas y
aseguradas. Con el objetivo de subir su nivel de cumplimiento y con esto
cumplir a cabalidad los requerimientos establecidos en este objetivo de control
de la norma, la entidad debe:
60
- Garantizar la debida separacin de los servicios de informacin, usuarios y
sistemas de informacin en la red, de acuerdo al control A.13.1.3 del Anexo
A de la ISO/IEC 27001:201336.
- Garantizar la debida proteccin de la informacin incluida en la mensajera
electrnica, de acuerdo al control A.13.2.3 del Anexo A de la norma
ISO/IEC 27001:201337.
- Establecer y revisar peridicamente que los requerimientos que se
establecen para los acuerdos de confidencialidad reflejen las necesidades
de la entidad para la proteccin de la informacin, de acuerdo al control
A.13.2.4 del Anexo A de la ISO/IEC 27001:201338.
A.11 Seguridad Fsica y del Entorno (76%)
Con el objetivo de subir el nivel de cumplimiento de este objetivo de control la

Entidad debe:
- Establecer los procedimientos para trabajo en reas seguras de acuerdo al

control A.11.1.5 del Anexo A de la ISO/IEC 27001:201339.
- Identificar los riesgos asociados a trabajar fuera de las instalaciones, con el
objetivo de dar cumplimiento al control A.11.2.6 Seguridad de Equipos y
activos fuera de las instalaciones del Anexo A de la ISO/IEC 27001:201340.
- Con el objetivo de dar total cumplimiento al control A.11.2.6 Seguridad de
equipos y activos fuera de las instalaciones del Anexo A de la ISO/IEC
27001:201341, la entidad debe: (i) establecer un mecanismo de seguridad y
autenticacin que permita validar que la estacin de trabajo que se conecta
a la red interna de la entidad es una estacin de trabajo segura y valida, y
(ii) implementar un mecanismo de monitoreo de las estaciones que se
conectan a la red.
- Implementar una poltica de escritorio limpio con el objetivo de proteger la
confidencialidad de la informacin.
36
NORMA ISO/IEC 27001:2013, pg. 20
37
Ibdem
38
Ibdem
39
Ibdem, pg. 16
40
Ibdem, pg. 18
41
Ibdem
61
A.12 Seguridad de las operaciones (92%)
Con el objetivo de subir el nivel de cumplimento de este objetivo de control la

entidad debe:
- Garantizar que el oficial de seguridad participa en los comits de cambios.

- Separar los ambiente de desarrollo, pruebas y produccin para reducir los
riesgos de acceso y no autorizados, de acuerdo al control A.12.1.4
Separacin de los ambientes de desarrollo, pruebas y operacin del Anexo
A de la ISO/IEC 27001:201342.
- Implementar un mecanismo para el monitoreo de los LOGs de eventos de
seguridad y las actividades que realizan los administradores sobre la
plataforma de procesamiento.
5.2. FASE II. PREPARACION

Esta fase corresponde a las actividades que se desarrollaron con el propsito de
establecer el Sistema de Gestin de Seguridad de la Informacin en la Entidad.
5.2.1. CONTEXTO DE LA ORGANIZACION

La norma ISO/IEC 27001:2013 reitera la importacin de conocer y comprender los
factores externos e internos de la organizacin, que pueden afectar o ser
afectados de manera positiva o negativa por el establecimiento del Sistema de
Gestin de Seguridad de la Informacin.
Para tal efecto, la norma ISO/IEC 27001:2013 incluye el captulo 4. CONTEXTO

DE LA ORGANIZACIN, donde se establece que la entidad debe determinar las
situaciones y factores externos e internos que la rodean y que son pertinentes
para establecer al Sistema de Gestin de Seguridad de la Informacin.
5.2.1.1. CONOCIMIENTO DE LA ORGANIZACIN
NATURALEZA DE LA ENTIDAD.
IGM S.A, es una sociedad annima, de economa mixta del orden nacional,
constituida con la participacin exclusiva de entidades pblicas, con personera
42
Norma ISO/IEC 27001:2013, pg. 19
62
jurdica, autonoma administrativa y capital independiente, organizada como un
establecimiento de crdito y vinculada al Ministerio de Hacienda y Crdito Pblico.
IGM S.A, es un banco de segundo piso, cuyos recursos de crdito son

desembolsados a los usuarios del sistema de crdito a travs de intermediario
financieros43 y est sometida a la vigilancia de la Superintendencia Financiera de
Colombia.
MISION DE LA ENTIDAD
Apoyamos el desarrollo sostenible del Pas, generando bienestar en las
regiones44.
VISION DE LA ENTIDAD
Ser la Banca del Desarrollo para la infraestructura sostenible del Pas45.
ACTIVIDADES QUE DESARROLLA LA ENTIDAD

IGM S.A promociona el desarrollo regional y urbano por medio de la financiacin y
la asesora en cuanto a diseo, ejecucin y administracin de proyectos en
infraestructura, mediante el otorgamiento de crditos. Estos recursos son
desembolsados a travs de intermediarios financieros mediante el sistema de
redescuento para los diferentes sectores de la economa46.
La entidad obtiene sus recursos del pblico mediante la emisin de Certificados de

Depsito a Trmino CDTs, inscritos ante la Superintendencia Financiera de
Colombia, en el Registro Nacional de Valores y Emisores. Celebra contratos de
crdito interno y recibe depsitos de las entidades pblicas sobre los cuales
reconoce rendimientos o contraprestaciones especiales.
IGM S.A est calificada como Emisor AAA (Triple A) en el largo plazo y F1+ en el
corto plazo por la Agencia Calificadora de Riesgos Fitch Ratings Colombia S.A.,
calificacin que la Financiera ha mantenido por once (11) aos consecutivos47.
Brinda servicio de asistencia tcnica en la estructuracin de proyectos.
43
Son los que pueden realizar operaciones de redescuento con la Entidad
44
Fuente: Pagina web de la entidad
45
Ibdem
46
Ibdem
47
Ibdem
63
ESTRUCTURA ORGANIZACIONAL
Figura 8. Organigrama de la Entidad

Fuente: La Entidad
En este organigrama existen dos reas que desempean las funciones de

seguridad de la informacin en la Entidad, la Vicepresidencia de Crdito y Riesgos
que desde el mes de enero del ao 2014 asumi las funciones de Seguridad de la
Informacin y la Direccin de Tecnologa de la Vicepresidencia de Operaciones
que desempea las funciones de Seguridad Informtica.
MAPA DE PROCESOS
El siguiente es el mapa de mapa de procesos de la entidad, en la cual se resalta el

proceso estratgico de Gestin de Riesgos y el proceso de apoyo de Gestin de
Tecnologa:
64
Figura 9. Mapa de proceso de la Entidad
Fuente: La Entidad
PROCESO DE GESTION DE RIESGOS. El proceso de Gestin de Riesgos, es

uno de los procesos estratgicos de la entidad y tiene por objetivo establecer,
implementar y mantener el Sistema de Administracin de Riesgos de la
entidad, acorde con las polticas establecidas por la Junta Directiva, ajustadas
a la normatividad vigente48. Su alcance, inicia con la identificacin de los riegos
y termina con la implementacin y administracin de los sistemas de riesgos,
tales como SARC49, SARO50, SARL51 y SARLAFT52. Lo anterior implica, la
definicin de polticas, mapas de riesgos, procedimientos, metodologa y
valoracin de riesgos. El proceso de Gestin de Riesgos, es en la entidad una
de la parte ms interesadas en forjar un adecuado Modelo de Gestin de
Seguridad de la Informacin, debido a que tiene a su cargo la responsabilidad
48
Caracterizacin Proceso de Gestin de Riesgos, Sistema de Gestin IGM S.A
49
Sistema de Administracin de Riesgo Crediticio
50
Sistema de Administracin de Riesgos Operativos
51
Sistema de Administracin de Riesgo de Liquidez
52
Sistema de Administracin del Riesgo de Lavado de Activos y Financiacin del Terrorismo
65
de la gestin de riesgos de la entidad, seguridad de la informacin y el plan de
Continuidad del Negocio de la entidad.
PROCESO DE GESTION DE TECNOLOGIA. Tiene por objetivo administrar y

proveer los recursos tecnolgicos de la entidad garantizando su
confidencialidad, disponibilidad, integridad y oportunidad. Su alcance inicia
desde la concepcin del plan estratgico de tecnologa, su ejecucin y la
adecuada prestacin de los servicios de tecnologa de la informacin y termina
con el monitoreo y evaluacin. Tiene entre otras, la responsabilidad de la
Gestin de Infraestructura y Plataforma de Procesamiento, Gestin de
Aplicaciones, Gestin de Proveedores de TI, Gestin de Incidentes y
Requerimiento, Gestin de Mesa de Ayuda, Gestin de Cambios de TI y
Seguridad Informtica.
El Proceso de Gestin de Tecnologa es considerado como uno de los

procesos fundamentes para garantizar la integridad, confidencialidad y
disponibilidad de la informacin de la entidad, ya que administra y soporta los
recursos tecnolgicos del negocios a travs de los cuales se gestiona,
intercambia y almacena la informacin de los procesos estratgicos, misionales
y de apoyo de la entidad, por lo tanto, es necesario asegurar sus activos de
informacin con el objetivo de poder forjar un adecuado Seguridad de Gestin
de Seguridad la Informacin y garantizar su mejora continua.
AREAS CRTICAS DE LA ENTIDAD

Las siguientes son las reas crticas de la entidad, donde estn establecidos las
mayores medidas y controles de seguridad con el objetivo de proteger y garantizar
la disponibilidad, integridad, confidencialidad, autenticidad, trazabilidad y no
repudio de la informacin que en ellas se maneja:
ALTA DIRECCION. Corresponden al rea donde estn ubicadas las oficinas

de los altos directivos de la entidad, tales como Presidencia, Secretaria
General, Asesores y la respectiva sala de junta. Debido a la informacin
sensible y confidencial que se maneja en esta rea que es fundamental para la
toma de decisiones y definicin de planes estratgicos, su acceso es
restringido con el objetivo de evitar amenazas relacionadas con el robo,
sustraccin, prdida y divulgacin no autorizada de la informacin.
66
MESA DE DINERO. La entidad por medio de la Mesa de Dinero obtiene
recursos del pblico a travs de emisin de ttulos valores que estn inscritos
ante la Superintendencia Financiera de Colombia, en el Registro Nacional de
Valores y Emisores. Estos recursos, son uno de los ms importantes y
representativos dentro del fondeo de la entidad. Por la naturaleza del negocio
de la entidad, la informacin que se maneja en la Mesa de Dinero es de
carcter confidencial y privilegiado, ya que con ella los funcionarios que
analizan el mercado de valores y determinan las condiciones oportunas para
realizar negociaciones de interbancarios. Las condiciones de acceso a esta
rea, estn dadas en el Reglamento AMV del Autorregulador del Mercado de
Valores de Colombia [8], en el cual, entre otras normas, se establece los
lineamientos y restricciones para el ingreso de elementos, dispositivos, equipos
informticos y de las personas a las Mesas de Dinero de las entidades
financieras afiliadas a la AMV.53
OPERACIONES FINANCIERAS Y DE TESORERIA. Encargada de las

operaciones financieras y de tesorera, y de la administracin de ingresos y
pagos de la entidad. Debe velar por garantizar la seguridad en el manejo de los
ttulos valores y los sistemas transaccionales por medio de los cuales se
realiza los pagos de las obligaciones de la entidad de acuerdo a los periodos y
compromisos establecidos. As mismo, debe verificar el cumplimiento de las
operaciones de compra y venta de divisas requeridas por la entidad. Para el
desarrollo de estas actividades, las terminales de los funcionarios de esta rea
tienen conexin a los siguientes sistemas o portales de informacin:
- Terminas empresariales, de otras entidades bancarias, a travs de las

cuales se realiza las transacciones electrnicas de los pagos de las
obligaciones contradas con terceros.
- Portal web del Sistema de Registro de Deceval, sistema para el manejo
de los ttulos desmaterializados que le permite a la entidad el pre-ingreso,
confirmacin y conocimiento de la informacin relacionada con las
operaciones sobre valores en el mercado mostrador. Tambin permite
consultar el estado de las operaciones registradas, as como informacin
global para fines estadsticos54.
53
Reglamento AMV, artculos 46.3 y 46.4
54
DECEVAL, REGLAMENTO DEL SISTEMA DE REGISTRO DE DECEVAL
67
- Sistema de Depsito Central de Valores del Banco de la Repblica,
permite el depsito, custodia y administracin de ttulos valores
desmaterializados, que tiene por objetivo primordial eliminar el riesgo que
representa el manejo de ttulos fsicos, facilitar las transacciones en el
mercado secundario y realizar de forma segura, gil y oportuna el cobro de
capital o de rendimientos financieros55.
- Sistema SEBRA, permite el acceso seguro a los servicios electrnicos para
realizar las transacciones y las comunicaciones entre el Banco de la
Repblica y la entidad, de una manera gil, eficiente y segura56.
Debido a las operaciones y transacciones electrnicas que realiza el rea de

Operaciones Financieras y de Tesorera, esta rea cuenta con las medidas de
seguridad fsicas y lgicas orientadas a evitar el acceso por parte de personas
no autorizadas, con el propsito de evitar la modificacin, manipulacin,
divulgacin no autorizada, prdida y robo de la informacin, y el uso
inadecuado de los sistemas para fraudes.
JEFATURA DE CARTERA. Entre sus funciones principales esta, coordinar y

controlar las actividades de normalizacin de cartera y la recuperacin de
cartera, velar por la adecuada administracin de las garantas que soportan las
operaciones de cartera de la entidad y reportar a las centrales de riesgos las
obligaciones que superen los plazos en mora establecidos en la normatividad
vigente. Esta jefatura est catalogada como rea crtica debido a que debe
garantizar la reserva bancaria de la informacin que se maneja dentro de esta,
la total integridad de las garantas que soportan las operaciones de cartera y la
confidencialidad y proteccin de los datos personas de los titulares.
AREA ADMINISTRACION DE PLATAFORMA. Tiene por funcin principal

garantizar la disponibilidad, continuidad, confiabilidad y seguridad de la
infraestructura tecnolgica y de telecomunicaciones que soportan los sistemas
de informacin y recursos tecnolgicos necesarios para la operacin del
negocio. As mismo, su responsabilidad es garantizar la seguridad informtica
en la entidad e implementar las medidas y controles tecnolgicos orientados a
55
http://www.banrep.gov.co/es/contenidos/page/qui-nes-pueden-acceder-dcv
56
http://www.banrep.gov.co/es/sebra-objetivo
68
evitar, prevenir o mitigar las amenazas informticas que puede atentar contra
la disponibilidad, integridad y confidencialidad de la informacin de la entidad.
CENTRO DE CMPUTO. En el centro de cmputo estn ubicados los

servidores, sistemas de almacenamiento, sistemas de respaldo, equipos de
seguridad y equipos de telecomunicaciones necesarios para soportar los
servicios tecnolgicos y sistemas de informacin requeridos para la operacin
del negocio y para el procesamiento, tratamiento, aseguramiento y respaldo de
la informacin. El centro de cmputo cuenta con las medias y mecanismos de
seguridad fsicas y lgicas con el objetivo de prevenir accesos no autorizado a
esta instalacin y por ende a los equipos ubicados dentro de la misma.
AREA DE RECEPCION DE CORRESPONDENCIA. Encarga de la recepcin

de correspondencia y documentos tanto internos como externos, y de la
radicacin e inclusin de los mismos en el sistema de gestin documental de la
entidad, para su respectiva clasificacin, asignacin, distribucin y entrega
digital o en medio fsico a los usuarios destinarios de la informacin. Debido
que esta rea est expuesta al pblico para la recepcin de documentacin,
paquetes y otros elementos, y al volumen y tipo de informacin que maneja de
carcter confidencial, pblico o de uso interno, en zona cuenta con las medidas
de seguridad orientas a evitar accesos no autorizados.
5.2.1.2. NORMATIVIDAD DE SEGURIDAD APLICABLE A LA ENTIDAD

La entidad por ser de carcter pblico y financiero, est vigilada y controlada por la
Superintendencia Financiera de Colombia y otros organismos y entes de control,
lo que significa que debe garantizar el cumplimiento de la normatividad vigente
relacionada con seguridad de la informacin que es aplicable a entidades del
estado y financieras, como por ejemplo:
Circular 052 de 2007 [9], por medio de la cual la Superintendencia Financiera

de Colombia establece los requerimientos mnimos se seguridad y calidad en
el manejo de informacin a travs de medios y canales de distribucin de
productos y servicios57, y entre otros establece que las entidades vigiladas
57
Superintendencia Financiera de Colombia, Circular externa 052 de 2007.
69
deben gestionar la seguridad de la informacin para lo cual pueden tomar
como el estndar de las normas ISO 2700158.
Circular 038 de 2009 [10], por medio de la cual la Superintendencia Financiera
de Colombia determina que las entidades vigiladas deben contar con sistemas
que garanticen que la informacin cumpla con los criterios de seguridad
relacionados con la confidencialidad, integridad y disponibilidad59.
Ley estatutaria 1266 de 2008 Habeas Data [11], que regula el manejo de la
informacin de las personas recopiladas y almacenadas en bases de datos de
terceros, en especial la informacin de carcter financiero, crediticio, comercial,
de servicios y la proveniente de terceros pases .
Ley 1581 de 201260 [12] que fue regulada en el Derecho 1377 de 201361 [13],
que definen el marco jurdico orientado a garantizar que la debida, recoleccin,
almacenamiento, tratamiento, uso y distribucin de los datos personales de los
titulares por parte de terceros.
Reglamento AMV del Autorregulador del Mercado de Valores de Colombia,
que definir los lineamientos de seguridad para las Mesas de Dinero de las
entidades afiliados a la AMV.
Modelo de seguridad y privacidad de la informacin [14], por medio del
cual el Ministerio de Tecnologas de la Informacin y las Comunicaciones
establece los lineamientos que deben seguir las entidades del estado para la
implementacin de la gestin de seguridad y privacidad de la informacin con
el objetivo de dar cumplimiento a la Estrategia de Gobierno en Lnea.
5.2.1.3. PARTES INTERESAS DE LA ENTIDAD

Los grupos de inters o partes interesadas de la entidad corresponden a las
personas naturales o jurdicas con la cuales la entidad interacta en el ejercicio de
sus funciones, que pueden afectar o ser afectadas de manera positiva o negativa
por la Seguridad de la informacin de la entidad y en algunos casos, pueden
manifestar un inters directo, explcito y comprometido con los objetivos y
propsitos del Sistema de Gestin de Seguridad de la Informacin.
58
Ibdem, numeral 3.1.2
59
Superintendencia Financiera de Colombia, Circular externa 038 de 2009, numeral 7.5.4.1.
60
Ley estatutaria 1581 del 17 de octubre de 2012 Por el cual se dictan disposiciones generales
para la proteccin de los datos personales.
61
Decreto 1377 de 2013, por el cual se reglamenta parcialmente la Ley 1581 de 2012.
70
Las siguientes son las partes interesadas de la entidad en funcin a la seguridad
de informacin:
Tabla 12. Partes de inters externas en funcin del SGSI
Grupos de inters Descripcin
Accionistas Pueden ser: la Nacin, entidades pblicas de orden nacional,

departamentos, personas naturales o jurdicas, nacionales o
extranjeras y organismos internacionales
Inversionista Corresponde al grupo de individuos que adquieren CDT u
otros ttulos valores ofrecidos por la entidad y las personas
que adquieren acciones de la entidad.
Gobierno Corresponde a los organismos con competencia para
establecer un marco normativo de funcionamiento de la
entidad.
Superintendencia La Superintendencia Financiera de Colombia, es un
Financiera de Colombia organismo tcnico que tiene por objetivo supervisar el
sistema financiero colombiano con el fin de preservar su
estabilidad, seguridad y confianza, as como, promover,
organizar y desarrollar el mercado de valores colombiano y la
proteccin de los inversionistas, ahorradores y asegurados.
Intermediarios Entidades a travs de las cuales la entidad realiza
Financieros operaciones de crdito por redescuento.
Comunidad Corresponde a los individuos y grupos externos que se ven
impactados por las actividades que desarrollar la entidad.
Beneficiarios Son las personales naturales o jurdicas que ejecutan los
proyectos con recursos otorgados por la entidad.
Entes de control externo Corresponde a los entres de vigilancia y control de
supervisan las actividades de la entidad
Bancos Multilaterales y Son los aliados empresariales, instituciones y organismos
de Desarrollo con los que la entidad participa en proyectos de inversin.
Proveedores Individuos que prestan sus servicios a la entidad.
Ex empleados Funcionaros retirados que siguen teniendo productos de la
entidad y cuyos datos personales son tratados por la entidad.
71
Tabla 13. Partes de inters internas en funcin del SGSI
Grupos de inters Descripcin
Alta Directiva Debe demostrar liderazgo y compromiso con la Seguridad de

la Informacin, asegurando que los objetivos que se
establecen son compatibles con la planeacin estratgica de
la organizacin.
Comit de Riesgo Apoyar a la Junta directiva y a la Presidencia de la Entidad,
en la definicin, seguimiento, control e implementacin de las
polticas y procedimientos de la gestin de riesgos, de la
seguridad de la informacin y del plan de continuidad del
negocio.
Vicepresidencia de Responsable de establecer, implementar y mantener el
Crdito y Riesgos Sistema de Administracin de Riesgos de la Entidad,
Sistema de Seguridad de la Informacin y el Plan de
Continuidad.
Oficial de Seguridad Responsable de la implementacin y operacin del Sistema
de Gestin de Seguridad de la Informacin
Direccin de Tecnologa Responsable entre otros aspectos, de la Seguridad
Informtica y Continuidad Tecnolgica de la Entidad.
Jefatura de Recursos Responsable de la Seguridad Fsica de la Entidad.
Fsicos
Gestin humana Responsable de la seguridad antes, durante y despus de la
vinculacin de los funcionarios
Responsable de la capacitaciones
Direccin Jurdica Garantizar el cumplimiento de la normatividad vigente
relacionada con seguridad de la informacin.
Colaboradores Responsables de velar por la seguridad sus activos de
informacin, cumplir a cabalidad con las normas de
seguridad establecidas en la Entidad. Tambin, tienen la
responsabilidad del tratamiento de los datos personales de
los titulares vinculados de alguna forma con la Entidad.
La siguiente es la relacin del grado de inters, motivacin y gobernabilidad de los

actores o partes interesadas de acuerdo a su funcin, responsabilidad y capacidad
influir de manera positiva o negativa en el Sistema de Gestin de Seguridad de la
Informacin:
72
Tabla 14. Actores relevantes en funcin a la seguridad de la informacin
Gobernabilidad
Motivacin
Inters
Actores Funcin con relacin a la seguridad de la
Relevantes informacin
Debe demostrar liderazgo y compromiso con la

Seguridad de la Informacin , asegurando que los
Alta Direccin Alta Alta Alta
objetivos que se establecen son compatibles con la
planeacin estratgica de la organizacin
Asegurar la implementacin, operacin y mejora
Comit de Riesgos continua del sistema de gestin de seguridad de la Alta Alta Alta
informacin
Vicepresidencia de Establecer, implementar y mantener el Sistema de
Alto Alta Alta
Crdito y Riesgos Seguridad de la Informacin
Establecer, implementar y velar por el cumplimiento
Oficial de
de las polticas, normas y lineamientos de seguridad Alto Alta Meda
Seguridad
que se establezcan en la organizacin.
Garantizar la disponibilidad de los sistemas de
informacin.
Direccin de
Garantizar la integridad, disponibilidad y Alto Alta Media
Tecnologa
confidencialidad de infraestructura de TI y por ende
de la informacin almacenada en ella
Jefatura de
Responsable de la seguridad fsica Alto Alta Media
Recursos Fsicos
Velar por la seguridad de sus activos de informacin.
Acatar las polticas de seguridad y velar porque sus
funcionarios las cumplan.
Colaboradores
Velar por la integridad, disponibilidad y Medio Medio Baja
Proveedores
confidencialidad de la informacin sensible de la
organizacin.
Determinar el nivel de autorizacin a sus informacin
Entes de Control
Superintendencia
Asegurar cumplimiento de normatividad Alto Medio Medio
Financiera de
Colombia
Procurar porque las entidades del estado
Gobierno implementen sistema de gestin que las permitan Alto Alta Alto
fortalecer su seguridad
Intermediarios
Interesados en que la entidad les brindad las
Financieros
garantas de proteccin de las operaciones que
Bancos Alto Bajo Baja
realizan con la entidad y de la informacin que
Multilaterales y de
intercambian
Desarrollo
Interesados en que la entidad le garantice la
Ex empleados proteccin de sus datos financieros y la privacidad Alto Bajo Baja
de sus datos personales
73
5.2.2. ALCANCE DEL SGSI
El alcance permite determinar los lmites y la aplicabilidad del sistema de gestin
de la seguridad de la informacin de la entidad62.
El alcance del Sistema de Gestin de Seguridad de la Informacin de la entidad

est incluido dentro del documento que se referencia en el ANEXO C del presente
trabajo, y corresponde al siguiente:
Alcance del SGSI
El alcance del Sistema de Gestin de la Seguridad de la informacin de IGM

S.A, abarca solo para el proceso de Gestin de Tecnologa de la Entidad, que
involucra la gestin de la infraestructura y plataforma de procesamiento, gestin
de aplicaciones, gestin de proveedores de TI, gestin de Incidentes y
requerimiento y gestin de cambios de TI.
El Sistema de Gestin de la Seguridad de la informacin aplica solo para la

sede principal de la entidad, ubicada en la ciudad de Bogot, limitando los
procesos y actividades que se desarrollan en esta sede.
5.2.3. POLITICA DEL SGSI

La poltica del Sistema de Gestin de Seguridad de la informacin corresponde a
la declaracin general que representa la posicin de la Alta Directiva de la entidad
con relacin a la seguridad de la informacin.
La norma ISO/IEC 27001:2013 en su numeral 5.2 Poltica, indica que la Alta

Direccin de la entidad debe establecer una poltica de seguridad de la
informacin adecuado al propsito de la organizacin, que incluya los objetivo de
seguridad de la informacin, los requerimientos normativos vigentes relacionados
con seguridad de la informacin y el compromiso de la mejora continua63.
La siguiente es la poltica general del Sistema de Gestin de Seguridad que se

defini:
62
63
74
POLITICA DEL SGSI
IGM S.A, enfocada en promover el progreso sostenible de las regiones, en

cumplimiento de nuestra misin, visin y objetivo estratgico, y para satisfacer
las necesidades de nuestros clientes, colaboradores, comunidad y dems
partes interesadas, establece la funcin de Seguridad de la Informacin en la
Entidad, con el objetivo de:
Cumplir con los requerimientos legales y reglamentarios aplicables a la

entidad y al Sistema de Gestin de Seguridad de la Informacin.
Entregar resultados de excelencia, con sentido de pertenencia, actitud
proactiva y comunicacin continua y oportuna.
Gestionar los riesgos de la entidad a travs de la aplicacin de estndares y
controles orientados a preservar la seguridad de nuestra informacin.
Mantener buenas prcticas de seguridad de la informacin que garantizan la
Disponibilidad, Integridad y Confidencialidad de la informacin,
proporcionando confianza en nuestras partes interesadas
Implementar el sistema de gestin de seguridad de la informacin.
Fortalecer la cultura de seguridad de la informacin en los colaboradores de
la Entidad.
Garantizar la continuidad de los servicios y la seguridad de la informacin.
Aplicabilidad de la Poltica del SGSI.
Esta poltica aplica a toda la entidad, sus colaboradores, proveedores, terceros

y dems partes interesadas.
5.2.4. OBJETIVO DEL SGSI

Los siguientes son los objetivos de Sistema de Gestin de Seguridad de la
Informacin que se definieron, los cuales estn incluidos en el ANEXO C del
presente trabajo de grado
75
OBJETIVOS DEL SGSI
Incrementar el nivel de satisfaccin de los clientes internos y externos de
IGM S.A.
Optimizar el nivel de eficacia de los controles de la Entidad.
Incrementar el nivel de competencias del talento humano.
Garantizar el acceso a la informacin de IGM S.A de acuerdo con los
niveles de la organizacin y criterios de seguridad que establezca la
Entidad, la normatividad aplicable y/o las partes interesadas.
Mantener la integridad de la informacin de la entidad, teniendo en cuenta
los requisitos de seguridad aplicables y los resultados de la valoracin y el
tratamiento de los riesgos identificados.
Asegurar que la informacin de IGM S.A est disponible para los usuarios
o procesos autorizados en el momento en que as lo requieran.
5.2.5. ESTRUCTURA ORGANIZACIONAL DE LA SEGURIDAD

De acuerdo al numeral 5.3 Roles, Responsabilidades y autorizadas en la
organizacin de la norma ISO/IEC 27001:2013, la alta directiva debe asegurar
que se asignen las responsabilidad y autoridades para los roles pertinentes a la
seguridad de la informacin64. Con base en este requerimiento de la norma, como
primero medida se identificaron las reas dentro de la entidad cuyas funciones
estn relacionadas con la seguridad de la informacin, para lo cual se tuvo en
cuenta los siguientes aspectos:
Responsable de la seguridad de la informacin

Responsable de la seguridad informtica
Responsable de la seguridad fsica
Responsable de la seguridad de los recursos humanos, antes, durante y
despus del contrato.
Responsable del cumplimiento de la normatividad vigente
Responsables y encargado del tratamiento de los datos personales de los
titulares.
64
Norma ISO/IEC 27001:2013, Pag, 3
76
De acuerdo a lo anterior, se identifico el siguiente organigrama que permite
identificar las dependencias de la entidad cuyas funciones son pertinentes a la
seguridad de la informacin:
Comit de Riesgos
Apoyar a la Junta Directiva y a la Presidencia en la

definicin, seguimiento, control e implementacin
de las polticas y procedimiento de seguridad de
la informacin.
Vicepresidencia y Crdito y Riesgos

Oficial de Seguridad
Validar la aplicaciones y cumplimiento de la poltica
y directrices de seguridad de la informacin que
imparta el Comit de Riesgos
Direccin de Direccin de Gestin Jefatura de Servicios

Direccin Jurdica
Tecnologa Humana Administrativos.
Seguridad de los Seguridad Fsica y del Garantizar Colaboradores y terceros
Seguridad Informtica
recursos humanos Entorno cumplimiento de ley Deben cumplir la poltica de
Encargados del tratamiento
de los datos.
Figura 10. Organizacin de la seguridad de la informacin

Fuente: El autor
Una vez identificadas las reas que cumplen funciones de seguridad de la

informacin, se procedi a establecer las siguientes responsabilidades de la
seguridad de la informacin para los roles pertinentes:
ALTA DIRECCIN
Aprobar la Poltica de Seguridad de la Informacin que debe ser publica y

divulga a todos los colaboradores de la entidad.
Revisar la Poltica de Seguridad de la Informacin en intervalos planificados o
cuando se produzcan cambios significativos en la normatividad aplicable.
Definir y establecer los roles y responsabilidades relacionados con la seguridad
de la informacin en niveles directivo y operativo.
77
Promover activamente una cultura de seguridad de la informacin en la
entidad.
COMIT DE RIESGOS
Establecer los mecanismos adecuados para la gestin y administracin de

riesgos, seguridad de la informacin, continuidad del negocio, velar por la
capacitacin del personal de la entidad en lo referente a estos temas.
Informar a la Junta Directiva sobre aspectos relacionados con la gestin de
riesgos, seguridad de la informacin y continuidad de negocio.
Disear y aprobar la estrategia de gestin de riesgos, seguridad de la
informacin y continuidad de negocio de la Entidad y liderar su ejecucin.
Asegurar la existencia de metodologas, polticas y sistemas para riesgos,
seguridad de la informacin y continuidad de negocio.
Asegurar la implementacin en la entidad, de la normatividad o requerimientos
que sobre los temas de riesgos, seguridad de la informacin y continuidad del
negocio que impartan o solicite el ente regulador o los entes de control.
OFICIAL DE SEGURIDAD
Disear y coordinar la implementacin de las polticas, normas y

procedimientos de seguridad de la informacin, con la participacin activa de
las dependencias de la Entidad.
Identificar los riesgos que afectan a los recursos de informacin frente a las
amenazas ms importantes y gestionar la actualizacin del mapa de riesgos.
Definir los controles asociados al Sistema de Seguridad de la Informacin y
evaluarlos peridicamente
Hacer la evaluacin del desempeo del SGSI.
Establecer un programa peridico de revisin de vulnerabilidades y coordinar
los respectivos planes de mitigacin.
Desarrollar de forma peridica, charlas de capacitacin y concientizacin en
temas de Seguridad de Informacin para el personal de la institucin.
Atender auditoras internas y externas de aspectos asociados a la Seguridad
de Informacin y facilitar la informacin sobre los controles implementados.
Reportar al Comit de Riesgos los incidentes de seguridad de la informacin,
los resultados de las auditorias, la revisin y supervisin del SGSI.
78
Asesorar en forma permanente y cercana a las distintas reas de la Institucin
en temas referentes a seguridad.
DIRECCIN DE TECNOLOGA SEGURIDAD INFORMATICA

Asegurar el cumplimiento de las polticas y requerimientos de seguridad
establecidos para la adquisicin, diseo, desarrollo, operacin, administracin
y mantenimiento de los sistemas operativos, bases de datos, recursos,
plataforma tecnolgica y servicios de telecomunicaciones de la entidad.
Asegurar el cumplimiento de las polticas y requerimientos de seguridad
establecidos para la adquisicin, diseo, desarrollo, operacin, administracin
y mantenimiento de los Sistemas de Informacin de la entidad.
Asignar las funciones, roles y responsabilidades de Seguridad, a sus
funcionarios para la operacin y administracin de la plataforma tecnolgica de
la entidad. Dichas funciones, roles y responsabilidades deben encontrarse
documentadas y apropiadamente segregadas.
Implementar los controles y medidas de seguridad
DIRECCION JURIDICA
Conocer e interpretar la normatividad vigente relacionada con seguridad de la

informacin bajo el contexto de la entidad.
Hacer cumplir en la entidad la normatividad vigente
Actualizar la normatividad vigente en el sistema de gestin de la entidad.
JEFATURA DE RECURSOS FISICOS
Implementar las medidas de seguridad fsica adecuadas con el objetivo de

proteger a la entidad antes situaciones generadas por eventos naturales,
alteraciones del entorno, acciones humanes y accesos no autorizadas, que
pueden comprometer la seguridad de la informacin de la entidad y la
continuidad del negocio.
Implementar las medidas de seguridad fsica con el objetivo de control el
acceso a las instalaciones de la entidad de acuerdo a nivel de criticidad.
COLABORADORES Y PARTES INTERESADAS
Cumplir en su totalidad las Polticas de Seguridad de la Informacin.

79
Mantener la Confidencial, Integridad y Disponibilidad de la informacin a la cual
tienen acceso para la ejecucin de sus actividades.
Los colaboradores dueos de proceso deben definir, documentar, mantener,
actualizar y mejorar permanentemente los procedimientos en funcin a la
Los colaboradores propietarios de los riesgos deben apoyar en la
identificacin, valoracin y gestin de los riesgos de Seguridad.
Garantizar el debido tratamiento de los datos personales de los titulares.
5.3. FASE III. PLANIFICACION

En esta fase se llevaron a cabo las actividades pertinentes con el propsito de
poder asegurar que el diseo del Sistema de Gestin de Seguridad de la
Informacin alcance los objetivos propuestos, que corresponden la determinacin
de los riesgos y las acciones para mitigarlos y a la definicin los lineamientos y
lmites en torno a la seguridad de la informacin que deben cumplir los
colaboradores y tercero.
Las actividades relacionadas con la clasificacin de los activos de informacin y su

valoracin de riesgos, se desarrollaron de acuerdo a los siguientes aspectos:
Alcance identificacin de activos. La identificacin de los activos de

informacin se realizo de acuerdo al alcance del SGSI, el cual solo contempla
el proceso de tecnologa, por lo tanto, nicamente se identificaron los activos
de informacin que son administrados y utilizados por la Direccin de
Tecnologa de la entidad, los cuales fueron el insumo para el proceso de
valoracin de riesgos de los activos de informacin.
Metodologa para la clasificacin de activos y valoracin de sus riesgos.
Para el desarrollo de las actividades relacionas con la identificacin y
clasificaciones de los activos de informacin del proceso de gestin de
tecnologa y la respectiva valoracin de los riesgos, se utilizo la metodologa de
riesgos relacionada en el Anexo D del presente trabajo de grado.
Confidencialidad de la informacin. Para efectos del presente trabajo no se
relaciona el nombre de las aplicaciones sino su propsito, por requerimiento de
de confidencialidad de la informacin por parte de la entidad.
80
5.3.1. CLASIFICACION DE ACTIVOS DE TECNOLOGIA
NOTA: El detalle de los activos del proceso de tecnologa de la entidad se
encuentra en el Anexo E del presente trabajo, el cual adems de esta informacin
contiene los parmetros, la formulacin y los clculos que se utilizaron para
determinar el nivel de criticidad de los activos de informacin.
Como primera actividad de esta etapa se identificaron los activos de informacin

del proceso de tecnologa, de acuerdo a la metodologa del Anexo D del presente
documento, la cual establece la siguiente clasificacin de tipos de activos:
Tabla 15. Tipos de activos de informacin

Tipo de activo Descripcin
Servicios Contempla servicios prestados por el sistema
Datos / Ficheros, copias de respaldo, datos de gestin interna, credenciales,

informacin datos de validacin de credenciales, datos de control de acceso,
registro de actividad.
Software Programas, aplicativos, desarrollos, software base, sistema de

informacin
Equipos Hardware. Medios materiales, fsicos, destinados a soportar directa

informticos o indirectamente los servicios que presta la organizacin
Personal Personas relacionadas con los sistemas de informacin.
Redes de Servicios de comunicaciones contratados a terceros; medios de

comunicaciones transporte que llevan datos de un sitio a otro
Soportes de Dispositivos fsicos que permiten almacenar informacin de forma

informacin permanente
Equipamiento Otros equipos que sirven de soporte a los sistemas de informacin,

auxiliar sin estar directamente relacionados con datos.
Instalaciones Lugares donde se hospedan los sistemas de informacin y

comunicaciones
A continuacin se relaciona el inventario de los activos de informacin que se

pudieron identificar en el proceso de tecnologa:
81
Tabla 16. Inventario de activos de informacin de tecnologa
Nombre del
No Descripcin del Activo Tipo de activo Contenedor
Activo
Centro Principal de procesamiento
Centro Principal de Data Center del
A1 donde reside la infraestructura para Instalaciones
Procesamiento proveedor
soporta la operacin del negocio
Centro Alterno de procesamiento que
Centro Alterno de Data Center del
A2 contiene la infraestructura para la Instalaciones
Procesamiento proveedor
continuidad del negocio
Cuartos de Instalacin fsica donde residen los
A3 Instalaciones Cuartos de rack
comunicaciones rack de comunicaciones
Area Instalacin fsica donde estn
Area administracin
A4 administracin de ubicados los administradores de Instalaciones
de plataforma
plataforma plataforma
Redes de
A5 Red LAN Red LAN corporativa de la entidad Red LAN
comunicaciones
Redes de
A6 Red WAN Red WAN de la entidad RED WAN
comunicaciones
Red Wifi utilizada por los equipos
Red WIFI Redes de
A7 mviles para acceder a los recursos Red LAN
corporativa comunicaciones
de la red corporativa de la entidad
Redes de
A8 Red WIFI invitados Red Wifi para invitados Red LAN
comunicaciones
Servidores de Servidores que soportan los servicios Equipos Data Center del
A9
administracin bases de administracin informticos proveedor
Servidores de Servidores de produccin que
Equipos Data Center del
A10 bases de datos de soportan los motores e instancias de
informticos proveedor
produccin bases de datos
Servidores de Servidores de produccin que
Equipos Data Center del
A11 aplicaciones de soportan las aplicaciones y sistemas
informticos proveedor
produccin de informacin
Servidores que soportan la
Plataforma de Equipos Data Center del
A12 plataforma y servicio de correo
Correo informticos proveedor
corporativo
Servidores de Servidores que soportan los Equipos Data Center del
A13
Pruebas ambientes de prueba de la entidad informticos proveedor
Servidores de Servidores que soportan los Equipos Data Center del
A14
Desarrollo ambientes de desarrollo de la entidad informticos proveedor
Unidades de almacenamiento donde Equipos Data Center del
A15 SAN
reside la informacin de la entidad informticos proveedor
Solucin de Solucin de Backup para el respaldo Equipos Data Center del
A16
Backup de informacin del negocio informticos proveedor
Equipos y dispositivos de red activos Equipos
A17 Dispositivos de red Cuartos de rack
(switch, router) informticos
Computadores Computadores que utilizan los Equipos Area administracin
A18
Administradores administradores de plataforma informticos de plataforma
Computadores de escritorio
Computadores de Equipos
A19 asignados a los colaboradores de la Computadores
escritorio usuarios informticos
entidad
Computadores porttiles de la Equipos
A20 Porttiles Porttiles
entidad informticos
Impresoras de la entidad ubicada en Equipos
A21 Impresoras Impresoras
diferentes reas informticos
A22 Equipos de Equipos informticos destinados a Equipos Equipos de seguridad
82
seguridad proteger la seguridad perimetral de la informticos perimetral
perimetral entidad
Aplicacin utilizada por la mesa de
Aplicacin Mesa de Servidores de
A23 ayuda para la gestin de Software
Ayuda administracin
requerimientos e incidentes
Aplicaciones utiliza para monitorear
Sistema Monitoreo Servidores de
A24 el rendimiento y disponibilidad de los Software
de servicios administracin
servicios de TI
Sistema de Control Sistema para controlar el acceso a Servidores de
A25 Software
de Acceso las reas de la entidad administracin
Herramienta de Herramienta utilizada para la Servidores de
A26 Software
Virtualizacin virtualizacin de servidores administracin
Sistema Gestor Sistema de gestin y administracin Servidores de bases
A27 Software
Base de Datos de las bases de datos de la entidad de datos
Software de administracin de Servidores de
A28 Antivirus Software
seguridad para el control de virus administracin
Sistema
Servidores de
A29 administracin de Sistema para administrar la SAN Software
administracin
la SAN
Sistema de administracin para el
Sistema de control Servidores de
A30 control de versionamiento de Software
de versiones administracin
software
Sistema de
Sistema para la grabacin de las Servidores de
A31 Grabacin de Software
llamadas administracin
llamadas
Sistema integrado de gestin de la Servidores de
A32 ERP Software
entidad aplicaciones
Aplicativos CORE Corresponde a los aplicativos que Servidores de
A33 Software
del negocio soportan el CORE del negocio aplicaciones
Aplicativo de Aplicativo para la gestin de recursos Servidores de
A34 Software
nomina humanos aplicaciones
Sistema de
Sistema de Gestin documental de la Servidores de
A35 Gestin Software
entidad aplicaciones
Documental
Sistema de Aplicativo para el Sistema de Gestin Servidores de
A36 Software
Gestin de Calidad de Calidad aplicaciones
Aplicativo web para la consulta y
Aplicativo WEB Servidores de
A37 pago de las obligaciones de cartera Software
transaccional aplicaciones
de los ex empleados
Servidores de
A38 Pgina WEB Pgina Web de la Entidad Software
aplicaciones
Servidores de
A39 Intranet Pgina Web de la Entidad Software
aplicaciones
Aplicativos
Servidores de
A40 seguimiento Pgina Web de la Entidad Software
aplicaciones
proyectos
Aplicativo para gestin relacin con Servidores de
A41 CRM Software
clientes aplicaciones
Terminales Aplicativo para el pago de las
A42 Software Otros bancos
empresariales obligaciones con terceros
Servicio establecido donde estn los
objetos tales como usuarios, equipos
Servidores de
A43 Directorio activo o grupos, con el objetivo de Servicios
administracin
administrar los inicios de sesin en
los equipos conectados a la red
83
Correo electrnico corporativo de la
A44 Correo Electrnico Servicios Plataforma de Correo
entidad
Bases de datos que almacenan la Servidores de bases
A45 Bases de datos Servicios
informacin de la entidad de datos
Almacenamiento de los documentos
Servidores de
A46 FileServer electrnicos que manejan las reas Servicios
administracin
de la entidad
Corresponde al servicio de Servidores de
A47 Video Conferencia Servicios
videoconferencia de la entidad administracin
Corresponde al mecanismo para la
Gestin de administracin y asignacin de
A48 Servicios Directorio activo
privilegios privilegios de acceso a los recursos
Informacin que identifica a un
Identidad del funcionario (nombre, cedula, datos Datos /
A49 Directorio activo
Usuario biomtricos como la huella, cdigo Informacin
del usuario, etc)
Usuario y Contrasea que utiliza los
Datos de Datos /
A50 usuarios para ingresar a los recursos Directorio activo
autenticacin Informacin
Usuario genricos que utilizan las
Datos /
A51 Usuarios genricos aplicaciones para conectarse a las Bases de datos
Informacin
bases de datos
Log que contiene los registros de los
Log de evento de eventos de seguridad y de los Datos /
A52 Log de eventos
seguridad eventos de administracin sobre las Informacin
aplicaciones
Registro de Registro de incidentes de seguridad
Datos /
A53 incidentes de reportados por la herramienta de Bases de datos
Informacin
seguridad mesa de ayuda
Corresponde a los documentos,
Manuales tcnicos manuales y procedimientos Datos /
A54 File Server
de administracin relacionadas con la administracin de Informacin
la plataforma
Bitcora de control
Registro de acceso al centro de Datos /
A55 de acceso al centro Carpetas
computo Informacin
de computo
Plan estratgico de Documento que contiene el plan Datos /
A56 File Server
tecnologa estratgico de tecnologa Informacin
Corresponde a los documentos del
Documentos del Datos /
A57 proceso que estn publicados en el Bases de datos
proceso Informacin
sistemas de gestin de calidad
Una vez identificados los activos de informacin se procedi a valorar su grado de

importacin y criticidad para la organizacin, para lo cual, se valoro la afectacin o
perdida que le puede generar a la entidad en cuanto aspectos financieros, legales
y de imagen, en caso dado que al materializarse una amenaza afecte su
disponibilidad, integridad o confidencialidad. Para tal efecto, se utilizaron los
siguientes criterios para realizar la respectiva valoracin:
84
Tabla 17. Tabla para valoracin activos de informacin
Criterio de Valor a
Aspecto Criterio de valoracin
valoracin asignar
Menor o igual a 0.25% 1

Prdidas
econmicas para la Mayor a 0.25% y menor o igual a 5% 2
Financiero empresa (porcentaje Mayor a 5% y menor o igual a 20% 3
calculado sobre la Mayor a 20% y menor o igual a 50% 4
utilidad operacional)
Mayor al 50% 5
No tiene repercusin frente a
1
normatividad y contratos.
Genera llamados de atencin por
2
parte de los entes de control.
Genera posibles sanciones menores
por parte de los entes de control y/o 3
Incumplimiento de reclamos por parte de terceros.
Legal normatividad y Genera sanciones econmicas por
legislacin parte de los entres de control y/o 4
demandas por parte de terceros.
Genera sanciones mayores por
parte de entes de control,
cancelacin de contratos, 5
suspensin de licencias, cierre de
lneas de negocios.
Conocido solo de manera interna de
la empresa pero no de inters 1
publico
Atencin de algunas partes
interesadas a nivel local que
2
potencialmente puede afectar a la
Afectacin de la empresa
Imagen imagen de la
Media atencin de las partes
empresa 3
interesadas a nivel local y regional.
Alta Atencin de las partes
interesadas a nivel local, regional y 4
nacional.
Conocimiento general a nivel
5
nacional e internacional.
Para determinar la criticidad del activo se formularon las siguientes preguntas
85
Tabla 18. Preguntas para determinar la criticidad del activo
Factor
Criterio Pregunta
Afectado
Si el activo o la informacin que se gestiona a travs de l no estn disponibles
Financiero
puede generar prdidas econmicas para la entidad?
Disponibilidad

Legal
puede generar sanciones legales de entes de control o demandas de terceros?
Imagen
puede afectar la imagen de la entidad?
Si el activo o la informacin que se gestiona a travs de l son alterados sin
Financiero
autorizacin puede generar prdidas econmicas para la entidad?
Integridad

Legal
autorizacin puede generar sanciones de entes de control?
Imagen
autorizacin puede afectar la imagen de la entidad?
Su divulgacin no autorizada puede relevar informacin sensible de la empresa
Financiero
Confidencialidad
requerida para la toma de decisiones estratgicas y financieras?

Su divulgacin no autorizada puede afectar el cumplimiento de regulaciones
Legal
impartidas por entes de control o puede generar demandas de terceros?
Imagen Su divulgacin no autorizada puede afectar la imagen de la entidad?
Por ltimo, para determinar el nivel de criticidad del activo se valoro se utilizo los
criterios de valoracin de la siguiente tabla:
Tabla 19. Nivel de criticidad de los activo de informacin

Valor
Nivel
Criterio de Evaluacin criticidad
criticidad
activo
La gestin del activo compromete en un alto grado la integridad y/o

>= 4 Alto
confidencialidad y/o disponibilidad de la informacin de la empresa.
La gestin del activo compromete en un nivel medio la integridad

>2y<4 Medio
y/o confidencialidad y/o disponibilidad de la informacin.
La gestin del activo compromete en un nivel bajo la integridad y/o

> 0 y <= 2 Bajo
confidencialidad y/o disponibilidad de la informacin de la empresa.
La gestin del activo no compromete la integridad, confidencialidad

Igual a 0 No aplica
y disponibilidad de la informacin de la empresa
86
De acuerdo a la metodologa planteada que est relacionado en el Anexo D del
presente trabajo, la siguiente es la valoracin del nivel de criticidad de los activos
del rea de tecnolgica que se identificaron:
Tabla 20. Valoracin nivel criticidad activos informacin de tecnologa
Valoracin nivel de criticidad del activo

Confidencialidad Integridad Disponibilidad
Confidencialidad
Disponibilidad
Valor Total
Nivel de
Integridad
No. Nombre del Activo
Financiero
Financiero
Financiero
criticidad
Imagen
Imagen
Imagen
Legal
Legal
Legal
A1 Centro Principal de Procesamiento 5 4 3 5 4 3 5 4 4 5 5 5 5 Alto
A2 Centro Alterno de Procesamiento 5 4 3 5 4 3 5 4 3 5 5 5 5 Alto
A3 Cuartos de comunicaciones 3 3 1 3 3 1 3 3 1 3 3 3 3 Medio
A4 Area administracin de plataforma 4 4 3 4 4 3 4 4 3 4 4 4 4 Alto
A5 Red LAN 4 4 3 4 4 3 2 1 1 4 4 2 4 Alto
A6 Red WAN 4 4 3 4 4 3 2 1 1 4 4 2 4 Alto
A7 Red WIFI corporativa 4 4 3 4 4 3 3 3 2 4 4 3 4 Alto
A8 Red WIFI invitados 3 2 1 3 2 1 3 3 1 3 3 3 3 Medio
A9 Servidores de administracin 4 3 2 4 3 2 4 3 2 4 4 4 4 Alto
Servidores de bases de datos de
A10 4 3 2 4 2 2 4 2 2 4 4 4 4 Alto
produccin
Servidores de aplicaciones de
A11 4 3 2 4 2 2 4 2 2 4 4 4 4 Alto
produccin
A12 Plataforma de Correo 3 3 3 3 3 3 3 3 3 3 3 3 3 Medio
A13 Servidores de Pruebas 1 1 0 0 0 0 0 0 0 1 0 0 1 Bajo
A14 Servidores de Desarrollo 1 1 0 0 0 0 0 0 0 1 0 0 1 Bajo
A15 SAN 4 4 3 4 4 3 4 4 3 4 4 4 4 Alto
A16 Solucin de Backup 3 3 2 3 3 2 3 2 2 3 3 3 3 Medio
A17 Dispositivos de red 4 4 3 4 4 3 3 3 2 4 4 3 4 Alto
A18 Computadores Administradores 4 4 3 5 4 3 5 4 3 4 5 5 5 Alto
A19 Computadores de escritorio usuarios 3 3 1 3 3 1 1 1 1 3 3 1 3 Medio
A20 Porttiles 3 3 1 3 3 1 1 1 1 3 3 1 3 Medio
A21 Impresoras 1 1 0 1 1 0 1 1 0 1 1 1 1 Bajo
A22 Equipos de seguridad perimetral 4 4 3 4 4 3 3 3 2 4 4 3 4 Alto
A23 Aplicacin Mesa de Ayuda 0 1 0 1 1 0 0 1 0 1 1 1 1 Bajo
A24 Sistema Monitoreo de servicios 0 2 0 0 2 0 0 2 0 2 2 2 2 Bajo
A25 Sistema de Control de Acceso 1 3 0 1 3 0 0 1 0 3 3 1 3 Medio
A26 Herramienta de Virtualizacin 4 4 3 4 4 3 4 4 3 4 4 4 4 Alto
A27 Sistema Gestor Base de Datos 4 4 3 4 4 3 3 2 2 4 4 3 4 Alto
A28 Antivirus 0 2 0 0 2 0 2 2 2 2 2 2 2 Bajo
A29 Sistema administracin de la SAN 4 4 3 4 4 3 4 4 3 4 4 4 4 Alto
A30 Sistema de control de versiones 0 2 0 0 2 0 0 0 0 2 2 0 2 Bajo
A31 Sistema de Grabacin de llamadas 3 3 1 3 3 1 3 3 1 3 3 3 3 Medio
87
A32 ERP 3 3 1 3 3 1 2 1 0 3 3 2 3 Medio
A33 Aplicativos CORE del negocio 4 3 1 4 3 1 2 1 0 4 4 2 4 Alto
A34 Aplicativo de nomina 3 3 1 3 3 1 2 1 0 3 3 2 3 Medio
A35 Sistema de Gestin Documental 2 2 1 2 2 1 1 1 0 2 2 1 2 Bajo
A36 Sistema de Gestin de Calidad 1 1 1 1 1 1 1 1 0 1 1 1 1 Bajo
A37 Aplicativo WEB transaccional 0 3 2 0 3 2 0 0 1 3 3 1 3 Medio
A38 Pgina WEB 1 3 3 1 3 3 1 1 2 3 3 2 3 Medio
A39 Intranet 0 1 1 0 1 1 0 0 0 1 1 0 1 Bajo
A40 Aplicativos seguimiento proyectos 0 2 2 0 2 2 0 2 2 2 2 2 2 Bajo
A41 CRM 0 3 1 0 2 1 0 0 0 3 2 0 3 Medio
A42 Terminales empresariales 0 3 0 0 3 1 0 0 0 3 3 0 3 Medio
A43 Directorio activo 4 4 0 4 4 0 0 0 0 4 4 0 4 Alto
A44 Correo Electrnico 3 3 2 3 3 2 0 0 2 3 3 2 3 Medio
A45 Bases de datos 4 4 2 4 4 2 0 0 2 4 4 2 4 Alto
A46 FileServer 4 4 2 4 4 2 0 0 2 4 4 2 4 Alto
A47 Video Conferencia 0 1 1 0 1 1 0 0 1 1 1 1 1 Bajo
A48 Gestin de privilegios 4 4 0 4 4 0 0 0 0 4 4 0 4 Alto
A49 Identidad del Usuario 2 4 1 2 4 1 0 0 2 4 4 2 4 Alto
A50 Datos de autenticacin 4 4 1 3 4 1 0 0 2 4 4 2 4 Alto
A51 Usuarios genricos 4 4 1 3 4 1 0 0 2 4 4 2 4 Alto
A52 Log de evento de seguridad 3 4 0 3 4 0 0 0 0 4 4 0 4 Alto
A53 Registro de incidentes de seguridad 3 4 0 3 4 0 0 0 0 4 4 0 4 Alto
Manuales tcnicos de
A54 1 1 0 1 1 0 0 0 0 1 1 0 1 Bajo
administracin
Bitcora de control de acceso al
A55 1 1 0 1 1 0 0 0 0 1 1 0 1 Bajo
centro de computo
A56 Plan estratgico de tecnologa 2 2 0 1 2 2 0 0 0 2 2 0 2 Bajo
A57 Documentos del proceso 1 1 0 1 1 0 0 0 0 1 1 0 1 Bajo
Para el anlisis de riesgos de los activos informacin y teniendo en cuenta las

recomendaciones del captulo 3.9 Determinar los activos para la valoracin de
riesgos de la metodologa relacionada en el Anexo_D del presente trabajo, se
opto por seleccionar los activos de informacin con nivel de criticidad Alto y Medio,
y agruparlos en la medida de lo posible por contener. Aquellos contenedores que
incluyeran ms de un activo de informacin se utilizaron para la valoracin de
riesgos en vez de hacerlo sobre el activo.
De acuerdo a lo anterior, los siguientes fueron los contenedores y/o activos de

informacin que se seleccionaron para el proceso de valoracin de riesgos:
88
Tabla 21. Activos seleccionados para valoracin de riesgos
Nivel de Contener y/o activo seleccionado para valoracin
Activo de Informacin
criticidad de riesgos
A4. Area administracin de plataforma Alto
Area administracin de plataforma
A18. Computadores Administradores Alto
A53. Registro de incidentes de seguridad Alto
Bases de datos
A51. Usuarios genricos Alto
A19. Computadores de escritorio usuarios Medio Computadores
A17. Dispositivos de red Alto
Cuartos de rack
A3. Cuartos de comunicaciones Medio
A2. Centro Alterno de Procesamiento Alto
A1. Centro Principal de Procesamiento Alto
A15. SAN Alto
A9. Servidores de administracin Alto
Data Center del proveedor
A11. Servidores de aplicaciones de produccin Alto
A10. Servidores de bases de datos de produccin Alto
A12. Plataforma de Correo Medio
A16. Solucin de Backup Medio
A50. Datos de autenticacin Alto
A48. Gestin de privilegios Alto Directorio activo
A49. Identidad del Usuario Alto
A22. Equipos de seguridad perimetral Alto Equipos de seguridad perimetral
A52. Log de evento de seguridad Alto Log de eventos
A42. Terminales empresariales Medio Otros bancos
A44. Correo Electrnico Medio Plataforma de Correo
A20. Porttiles Medio Porttiles
A5. Red LAN Alto
A7. Red WIFI corporativa Alto Red LAN
A8. Red WIFI invitados Medio
A6. Red WAN Alto RED WAN
A43. Directorio activo Alto
A46. FileServer Alto
A26. Herramienta de Virtualizacin Alto
Servidores de administracin
A29. Sistema administracin de la SAN Alto
A25. Sistema de Control de Acceso Medio
A31. Sistema de Grabacin de llamadas Medio
A33. Aplicativos CORE del negocio Alto
A34. Aplicativo de nomina Medio
A37. Aplicativo WEB transaccional Medio
Servidores de aplicaciones
A41. CRM Medio
A32. ERP Medio
A38. Pgina WEB Medio
A45. Bases de datos Alto
Servidores de bases de datos
A27. Sistema Gestor Base de Datos Alto
89
5.3.2. VALORACION RIESGOS ACTIVOS DE TECNOLOGIA
Se procedi a realizar la valoracin de los riesgos a los cuales estn expuestos
los activos de informacin que se identificaron para el proceso de tecnologa, para
lo cual, se desarrollo las siguientes actividades:
Identificacin de riesgo
Anlisis del riesgo inherente
Elaboracin matriz de riesgo inherente
Valoracin de controles existentes para mitigar el riesgo inherente
Determinacin de riesgos residual
Elaboracin matriz de riesgo residual
NOTA: El detalle de los riesgos del proceso de tecnologa se encuentra en el

Anexo E del presente trabajo, el cual adems de esta informacin contiene los
parmetros, la formulacin y los clculos se utilizaron para determinar el riesgo
inherente y el residual.
5.3.2.1. IDENTIFICACION DE AMENZAS

Se identificaron las amenazas a las que estos estn expuestos los activos de
informacin de la direccin de tecnologa que fueron seleccionados para la
valoracin de riesgos, para lo cual, se planearon las siguientes preguntas:
Cul es la probabilidad de ocurrencia de la amenaza?
Cul sera el impacto en caso de que ocurriera?
Cules de los criterios de seguridad afectara, si la confidencialidad, la

integridad o la disponibilidad?
Para facilitar esta labor de identificacin, se elaboro la siguiente lista que contiene
una serie de riesgos de seguridad que en trminos generales pueden afectar a
cualquier tipo de organizacin y los principios de seguridad que se ven afectos,
relacionados con la confidencialidad, disponibilidad e integridad de la informacin:
90
Tabla 22. Lista de riesgos y principios de seguridad afectados
Principios afectadas
RIESGOS
C I D
Abuso de privilegios de acceso X X
Acceso no autorizado X X
Auditorias dbiles
Cambio de privilegios sin autorizacin X X X
Denegacin de Servicio X
Divulgacin o robo de informacin de autenticacin X
Divulgacin no autorizada de informacin del negocio X
Ejecucin de ingeniera social X
Errores del administrador X X X
Instalacin de software no autorizado X X
Interceptacin no autorizada de informacin en trnsito X
Manipulacin de la configuracin X
Modificacin sin autorizacin X
Prdida o robo de informacin X X
Suplantacin de identidad de usuarios X X
Uso inadecuado de sistemas para generar fraudes X X
Uso inadecuado de sistemas que generan interrupcin X
Con base en esta informacin se identificaron las siguientes amenazas a las

cuales estn expuestos los activos de informacin de la Direccin de Tecnologa
seleccionados para el proceso de valoracin de riesgos:
Tabla 23. Amenazas que pueden afectar los activos de tecnologa
Amenazas Activos de tecnologa que pueden ser afectado
Area administracin de plataforma Servidores de Administracin

Bases de datos Servidores de bases de datos de produccin
Acceso no autorizado Cuartos de Rack Servidores de aplicaciones de produccin
Data Center del proveedor Plataforma de Correo
Directorio Activo
Equipos de seguridad perimetral
Ataques externos /
internos (hacking no Equipos de seguridad perimetral Servidores de aplicaciones de produccin
tico) Servidores de Administracin Data Center del proveedor
Plataforma de Correo
Cambio de privilegios sin Bases de Datos Servidores de bases de datos de produccin
91
autorizacin Directorio Activo Servidores de aplicaciones de produccin
Servidores de Administracin Plataforma de Correo
Desastres naturales Data Center del proveedor
Divulgacin de Bases de Datos Servidores de Administracin
informacin de Directorio Activo
autenticacin
Bases de datos Servidores de Administracin
Data Center del proveedor Servidores de bases de datos de produccin
Error del administrador Directorio Activo Servidores de aplicaciones de produccin
Red LAN Plataforma de Correo
Red WAN Equipos de seguridad perimetral
Instalacin de software Directorio Activo Porttiles
no autorizado Computadores
Interceptacin no Red LAN Servicio de Correo
autorizada de Red WAN
informacin en trnsito
Bases de datos Red LAN
Interrupcin en los
servicios Data Center del proveedor Red WAN
Directorio Activo Servidores de Produccin
Modificacin sin
autorizacin Directorio Activo Servidores de aplicaciones de produccin
Robo de equipos Area administracin de plataforma Data Center del proveedor
Cuartos de Rack
Robo de informacin Directorio Activo Plataforma de Correo
Servidores de Administracin
Suplantacin de Directorio Activo Servicio de Correo
identidad de usuarios
Uso inadecuado de Bases de datos Servidores de bases de datos de produccin
sistemas para generar Directorio Activo Servidores de aplicaciones de produccin
fraudes Servidores de Administracin Plataforma de Correo
Bases de datos Servidores de Administracin
Uso inadecuado de Data Center del proveedor Servidores de bases de datos de produccin
sistemas que generan Directorio Activo Servidores de aplicaciones de produccin
interrupcin Red LAN Plataforma de Correo
Red WAN
Data Center del proveedor Servidores de bases de datos de produccin
Abuso de privilegios Directorio Activo Servidores de aplicaciones de produccin
92
Las siguientes son vulnerabilidades asociadas a las diferentes amenazas
identificadas y que estn relacionados con las caractersticas de los activos de la
direccin de tecnologa o de sus contenedores:
Tabla 24. Vulnerabilidad asociados a las amenazas de los activos
AMENAZA ACTIVOS VULNERABILIDADES

Inadecuada Administracin de Seguridad
Bases de datos
Ausencia o Inadecuada plataforma de Seguridad
Cuartos de Rack
Perimetral
Inadecuada Administracin o Asignacin de roles y
Directorio Activo
Acceso no permisos
autorizado Ausencia de una configuracin segura de la red
Contraseas no seguras
Configuracin incorrecta de las cuentas de usuario
produccin
Falta de seguridad de los puertos de red
Servidores de aplicaciones de produccin
Polticas no aplicada o no existencia de seguridad
Bases de datos
Ataques externos Servidores de Administracin
Ausencia o Inadecuada plataforma de Seguridad
/ internos Servidores de bases de datos de
Perimetral
(hacking no produccin
Ausencia de una configuracin segura de la red
tico) Servidores de aplicaciones de produccin
Falla de seguridad en los componentes de red
Bases de Datos
Directorio Activo Contraseas no seguras
Cambio de Servidores de Administracin Inadecuada Administracin o Asignacin de roles y
privilegios sin Servidores de bases de datos de permisos
autorizacin produccin Inadecuada Administracin de Seguridad
Servidores de aplicaciones de produccin Polticas no aplicada o no existencia de seguridad
Desastres
Ausencia de un sistema de continuidad de negocio
naturales
Ubicacin fsica de los equipos
(Terremotos,
Data Center del proveedor Ubicacin fsica del centro de cmputo
Incendios,
Inundaciones,
fsica
etc.)
Divulgacin de Bases de Datos
informacin de Directorio Activo
autenticacin Servidores de Administracin
permisos
Inadecuado mecanismo de cifrado
Bases de datos Ausencia de capacitacin permanente
Error del Data Center del proveedor Ausencia o inadecuado procedimiento de control de
administrador Directorio Activo cambios
Red LAN Desmotivacin del personal
93
Red WAN
produccin
Instalacin de Directorio Activo Polticas no aplicada o no existencia de seguridad
software no Computadores Inadecuada Administracin o Asignacin de roles y
autorizado Porttiles permisos
Interceptacin no
Red LAN
autorizada de Polticas no aplicada o no existencia de seguridad
Red WAN
informacin en Inadecuado mecanismo de cifrado
Correo
trnsito
Bases de datos
Inadecuada Configuracin y Capacidad de los
ambientes
Interrupcin en Directorio Activo
Ausencia o inadecuado procedimiento de control de
los servicios Red LAN
cambios
Red WAN
Falta de mantenimiento de equipos
Servidores de Produccin
Bases de datos
Directorio Activo
Modificacin sin Inadecuada Administracin o Asignacin de roles y
autorizacin permisos
produccin
Area administracin de plataforma Ausencia o inadecuado plataforma de vigilancia
Robo de equipos Cuartos de Rack fsica
Data Center del proveedor Inadecuado inventario de activos fsicos
Ubicacin fsica de los equipos
Bases de datos Ausencia o Inadecuada plataforma de Seguridad
Directorio Activo Perimetral
Robo de Servidores de Administracin Polticas no aplicada o no existencia de seguridad
informacin Servidores de bases de datos de Inadecuada Administracin o Asignacin de roles y
produccin permisos
Plataforma de Correo Inadecuado mecanismo de cifrado
Inexistencia de Logs de eventos de seguridad
Suplantacin de Cuentas de usuario sin auditar
Directorio Activo
identidad de Ausencia o inadecuado plataforma de vigilancia
Servicio de Correo
usuarios fsica
Bases de datos Inadecuada Administracin de Seguridad
Uso inadecuado Directorio Activo Cuentas de usuario sin auditar
de sistemas para Servidores de Administracin Inexistencia de Logs de eventos de seguridad
generar fraudes Servidores de bases de datos de Inadecuada Administracin o Asignacin de roles y
produccin permisos
94
Servidores de aplicaciones de produccin Polticas no aplicada o no existencia de seguridad
Bases de datos
Data Center del proveedor Inadecuada Administracin de Seguridad
Directorio Activo
Cuentas de usuario sin auditar
Uso inadecuado Red LAN
Inexistencia de Logs de eventos de seguridad
de sistemas que Red WAN
generan Servidores de Administracin
permisos
interrupcin Servidores de bases de datos de
produccin
Cuentas de usuario sin auditar
Directorio Activo
Abuso de Inexistencia de Logs de eventos de seguridad
privilegios Inadecuada Administracin o Asignacin de roles y
produccin
permisos
5.3.2.2. ANALISIS DEL RIESGO INGERENTE

Por medio del anlisis de riesgos se estableci la probabilidad de ocurrencia de
los riesgos y el impacto de los mismos, con el fin de obtener el nivel de riesgo
inherente, el cual, nos permiti establecer el nivel de riesgo propio de la actividad
sin tener en cuenta las medidas y controles de seguridad que actualmente existen
en la entidad para mitigar o minimizar los riesgos.
Para determinar la probabilidad de ocurrencia de una amenaza sobre cada uno de

los activos, se utilizo los siguientes criterios de valoracin:
Tabla 25. Valoracin probabilidad de ocurrencia
Probabilidad de ocurrencia en un (1) aos Valor Cualitativo Valor Asignado
Una vez cada ao Raro 1
Una vez cada seis (6) meses Baja (Improbable) 2
Una vez cada tres (3) meses Media (Posible) 3
Una vez cada mes Alta (Probable) 4
Ms de una vez al mes Muy Alta 5
95
Para determinar el impacto que pueden tener las prdidas de confidencialidad,
integridad y disponibilidad sobre los activos de informacin se utilizo los siguientes
criterios de valoracin:
Tabla 26. Valoracin del impacto

Impacto cuantitativo
Impacto Cualitativo
Impacto (Porcentaje sobre Valor
(Uno o ms factores)
utilidad operacional)
No afecta la seguridad de la informacin de
Genera prdidas la entidad.
financieras pequeas No afecta la imagen de la entidad ante las
Insignificante no significativas. partes interesadas. 1
(Perdida Menor o igual Genera reprocesos insignificantes.
a 0.25%) La informacin se puede recuperar
rpidamente con la misma calidad.
No afecta la seguridad de la informacin de
Genera prdidas
la entidad.
financieras menores no
Afecta en menor grado la imagen de la
significativas.
Menor entidad ante las partes interesadas. 2
(Perdida Mayor a
Genera reprocesos menores.
0.25% y menor o igual
La informacin se puede recuperar en un
a 5%)
tiempo moderado con la misma calidad.
Afecta en menor grado la seguridad de la
informacin de la entidad.
Genera prdidas
Afecta medianamente la imagen de la
financieras moderadas.
Moderado entidad ante las partes interesadas. 3
(Mayor a 5% y menor o
Genera reprocesos moderados.
igual a 20%)
La informacin se puede recuperar pero no
con la misma calidad
Afecta en mayor grado la seguridad de la
Genera prdidas informacin de la entidad.
financieras mayores. Afecta altamente la imagen de la entidad
Mayor 4
(Perdida mayor o igual ante las partes interesadas.
a 20% y menor a 50%) Genera reprocesos mayores.
Es difcil recuperar la informacin
Afectar seriamente la seguridad de la
Afecta gravemente la imagen de la
Genera prdidas
empresa ante las partes interesadas
financieras crticas.
Catastrfico Puede generar prdida masiva de clientes. 5
(Perdidas Mayores a
Genera alto nivel de reprocesos.
50%)
Es difcil y costoso recuperar la
informacin.
Afecta la continuidad del negocio
96
El nivel de riesgo inherente es igual a el valor de la probabilidad x valor del
impacto.
Para clasificar el riesgo ya se inherente o residual dependiente de su nivel de

riesgo, se utilizo los siguientes criterios de valoracin que determinan el tipo de
riesgo:
Tabla 27. Valoracin de los riesgos

Tipo de riesgo Valor Nivel Riesgo Accin requerida
Requiere acciones inmediatas que permitan

Nivel Riesgo mayor o igual a
Riesgo Extremo reducir y compartir el riesgo, transferirlo o
15 puntos
incluso evitarlo
Nivel Riesgo mayor o igual a Requieren atencin urgente e implementar

Riesgo Alto
10 y menor a 15 puntos medidas para reducir el nivel del riesgo
Requiere de medidas prontas y adecuadas que

Nivel Riesgo mayor o igual a 5
Riesgo Medio permitan disminuir el riesgo a nivel bajo o
y menor a 10 puntos
inusual
El riesgo se mitiga con actividades propias y por

Nivel Riesgo mayor o igual a 3
Riesgo Bajo medio de algunas medidas preventivas para
y menor a 5 puntos
reducir el riesgo
Se puede aceptar el riesgo sin necesidad de

Riesgo Inusual Nivel Riesgo Menor a 3 puntos tomar otras medidas de control diferentes a las
existentes.
El siguiente es el resultado del proceso de valoracin del riesgo inherente de las

amenazas asociados a los activos de informacin de la Direccin de Tecnologa:
97
Tabla 28. Valoracin de riesgos inherente Direccin de Tecnologa
VALORACION IMPACTO ESTIMACION DE RIESGO

RIESGOS Probabilidad Nivel de Riesgo
D I C D I C
R1. Acceso no autorizado Mayor Catastrfico Alta Riesgo Extremo Riesgo Extremo Riesgo Extremo
R2. Ataques externos / internos (hacking no tico) Mayor Mayor Alta Riesgo Extremo Riesgo Extremo Riesgo Extremo
R3. Cambio de privilegios sin autorizacin Moderado Moderado Moderado Alta Riesgo Alto Riesgo Alto Riesgo Alto Riesgo Alto
R4. Desastres naturales (Terremotos, Incendios, Inundaciones,
Mayor Raro Riesgo Bajo Riesgo Bajo
etc.)
R5. Divulgacin de informacin de autenticacin Moderado Media Riesgo Medio Riesgo Medio
R6. Error del administrador Moderado Alta Riesgo Alto Riesgo Alto
R7. Instalacin de software no autorizado Menor Media Riesgo Medio Riesgo Medio
R8. Interceptacin no autorizada de informacin en trnsito Mayor Mayor Alta Riesgo Extremo Riesgo Extremo Riesgo Extremo
R9. Interrupcin en los servicios Moderado Media Riesgo Medio Riesgo Medio
R10. Modificacin sin autorizacin Moderado Media Riesgo Medio Riesgo Medio
R11. Robo de equipos Moderado Media Riesgo Medio Riesgo Medio
R12. Robo de informacin Mayor Mayor Media Riesgo Alto Riesgo Alto Riesgo Alto
R13. Suplantacin de identidad de usuarios Moderado Baja Riesgo Medio Riesgo Medio
R14. Uso inadecuado de sistemas para generar fraudes Mayor Baja Riesgo Medio Riesgo Medio
R15. Uso inadecuado de sistemas que generan interrupcin Mayor Baja Riesgo Medio Riesgo Medio
R16. Abuso de privilegios Mayor Mayor Alta Riesgo Extremo Riesgo Extremo Riesgo Extremo
D: Disponibilidad, I: Integridad, C: Confidencialidad
98
Tabla 29. Riesgos inherentes de Tecnologa por tipo de riesgo
Nivel de Riesgo
RIESGO ACTIVOS Probabilidad Impacto Probabilidad x
impacto
Bases de datos
Cuartos de Rack
Riesgo
R1. Acceso no autorizado Directorio Activo 4. Alta 5. Catastrfico 20
Extremo
Servidores de Administracin, bases de
datos y aplicaciones de produccin
Bases de datos
R2. Ataques externos / Servidores de Administracin, bases de Riesgo
4. Alta 4. Mayor 16
internos (hacking no tico) datos y aplicaciones de produccin Extremo
R8. Interceptacin no
Red LAN y Red WAN Riesgo
autorizada de informacin en 4. Alta 4. Mayor 16
Correo Extremo
trnsito
Directorio Activo
Riesgo
R16. Abuso de privilegios Servidores de Administracin, bases de 4. Alta 4. Mayor 16
Extremo
Bases de Datos
Directorio Activo
R3. Cambio de privilegios sin Riesgo
Servidores de Administracin, bases de 4. Alta 3. Moderado 12
autorizacin Alto
Bases de datos
Directorio Activo
Red LAN y Red WAN Riesgo
R6. Error del administrador 4. Alta 0. No afecta 12
Servidores de Administracin, bases de Alto
Bases de datos
Directorio Activo
Riesgo
R12. Robo de informacin Servidores de Administracin 3. Media 4. Mayor 12
Alto
Servidores de bases de datos de produccin
Bases de Datos
R5. Divulgacin de Riesgo
Directorio Activo 3. Media 3. Moderado 9
informacin de autenticacin Medio
Bases de datos
R9. Interrupcin en los Directorio Activo Riesgo
3. Media 0. No afecta 9
servicios Red LAN y Red WAN Medio
R10. Modificacin sin Bases de datos 3. Media 0. No afecta 9 Riesgo
99
autorizacin Directorio Activo Medio
Riesgo
R11. Robo de equipos Cuartos de Rack 3. Media 0. No afecta 9
Medio
Bases de datos
R14. Uso inadecuado de Directorio Activo
Riesgo
sistemas para generar Servidores de Administracin, bases de 2. Baja 4. Mayor 8
Medio
fraudes datos y aplicaciones de produccin
Bases de datos
R15. Uso inadecuado de Directorio Activo
Riesgo
sistemas que generan Red LAN y Red WAN 2. Baja 0. No afecta 8
Medio
interrupcin Servidores de Administracin, bases de
Directorio Activo
R7. Instalacin de software Riesgo
Computadores 3. Media 0. No afecta 6
no autorizado Medio
Porttiles
R13. Suplantacin de Directorio Activo Riesgo
2. Baja 3. Moderado 6
identidad de usuarios Servicio de Correo Medio
Riesgo
R4. Desastres naturales Data Center del proveedor 1. Raro 0. No afecta 4
Bajo
La siguiente es la distribucin del riesgo inherente asociado a los activos de

informacin de la Direccin de Tecnologa que fueron seleccionados para el
proceso de valoracin de riesgos:
Figura 11. Distribucin del riesgo inherente activos Direccin de Tecnologa

Fuente: El autor
100
5.3.2.3. MAPA DE CALOR
El mapa de calor permite representar de forma grfica un plano conformado por
zonas donde se ubicacin los riesgos de acuerdo a su probabilidad y su impacto.
Cada zona dentro del mapa de calor corresponde a un tipo de riesgo, el cual
indica las acciones que se deben realizar para el tratamiento del riesgo.
El siguiente es el mapa de calor que tuvo en cuenta para determinar la ubicacin

de los riesgos inherentes que fueron identificados:
Figura 12. Mapa de Calor

Fuente: La entidad
Se utilizo una matriz de 5x5 para el mapa de calor, debido a que las metodologas
de riesgos de la entidad utilizan este tipo de matrices para la valoracin de los
diferentes tipos de riesgos.
101
5.3.2.4. MAPA DE RIESGO INHERENTE
Los siguientes son los mapas de riesgo inherente del proceso de tecnologa:
Figura 13. Mapa Riesgo inherentes detallado proceso de tecnologa
Figura 14. Mapa Riesgo inherentes detallado proceso de tecnologa
102
5.3.2.5. VALORACION DE CONTROLES
Una vez generada la matriz de riesgo inherente se procedi a valorar la efectividad
de los controles existentes, con el objetivo determinar el nivel de desplazamiento
que estos pueden genera sobre el mapa de calor de riesgo, lo cual determina, el
mapa de calor del riesgo residual.
Para determinar la efectividad del control se utilizo como gua la metodologa de

riesgos propuesta por el Departamento Administrativo de la Funcin Pblica en su
gua para la administracin del riesgo [15], la cual propone valorador los siguientes
aspectos, caractersticas o cualidades del control, a los cuales se les asigna un
peso sobre un total de 100 puntos65:
Tabla 30. Criterios para evaluar la efectividad del control
Opciones de
Aspectos a evaluar Peso
respuesta
Afecta impacto o probabilidad. Permite establecer el movimiento que Impacto
genera sobre la matriz, si sobre el eje X (probabilidad) o sobre el eje Y
Probabilidad
(impacto)
Control Preventivo 20
Categora del control Control Detectivo 15
Control Correctivo 5
SI 15
Herramientas para ejercer el control
NO 0
Estn definidos los responsables de la ejecucin del control y del SI 15
seguimiento NO 0
SI 20
La frecuencia de la ejecucin del control y seguimiento es adecuada.
NO 0
SI 20
El tiempo que lleva el control ha demostrado ser efectivo
NO 0
SI 10
Est documentado los pasos para el manejo del control
NO 0
La pregunta relacionada con Afecta impacto o probabilidad, permite establecer el

movimiento que genera la efectividad del control sobre el mapa de calor, si sobre
el eje X (probabilidad) o sobre el eje Y (impacto).
Con base en los anteriores criterios, el siguiente es el resultado de la valoracin de

la efectividad de los controles existentes:
65
Departamento Administrativo de la Funcin Pblica, Gua para la administracin del riesgo, Pg., 34
103
Tabla 31. Valoracin de controles
ASPECTOS A EVALUAR DEL CONTROL
Estn definidos
los La frecuencia El tiempo que Est
Existe una responsables de de la ejecucin lleva el documentado TOTAL
RIESGO \ AMENAZA DESCRIPCION DEL CONTROL Tipo de control herramienta la ejecucin del del control y control ha los pasos para PUNTAJE
(afecta impacto para ejercer el control y del seguimiento es demostrado el manejo del
o probabilidad) Categoria control seguimiento adecuada. ser efectivo control
Se cuenta con un sistema de control de Preventivo SI NO SI SI NO
acceso biomtrico para ingresar a las reas Probabilidad 75
seguras y cmaras de vigilancia 20 15 0 20 20 0
Existe un plataforma de seguridad perimetral Preventivo SI SI SI NO NO
Probabilidad 70
en alta disponibilidad 20 15 15 20 0 0
El acceso de los usuarios al los recursos Preventivo SI SI SI NO NO
R1. Acceso no autorizado tecnolgicos se controla por el directorio Probabilidad 70
activo 20 15 15 20 0 0
Las aplicaciones cuentan con esquemas de Preventivo SI NO NO NO NO
Probabilidad 35
seguridad basado en roles y permisos 20 15 0 0 0 0
Se cuenta con un esquema de privilegios Preventivo SI NO NO NO NO
Probabilidad 35
sobre el fileserver 20 15 0 0 0 0
R2. Ataques externos / Existe un plataforma de seguridad perimetral Preventivo SI SI SI SI NO
Probabilidad 90
internos (hacking no tico) en alta disponibilidad 20 15 15 20 20 0
R3. Cambio de privilegios sin Se cuenta con un procedimiento formal de Preventivo SI SI NO NO SI
Probabilidad 60
autorizacin control de cambios 20 15 15 0 0 10
Centro principal de procesamiento TIER III y Correctivo SI SI NO NO SI
R4. Desastres naturales Impacto 45
Centro alterno de procesamiento TIER II 5 15 15 0 0 10
(Terremotos, Incendios,
Inundaciones, etc.) Preventivo SI SI NO NO SI
Simulacros de evacuacin Impacto 60
20 15 15 0 0 10
R5. Divulgacin de Se tiene implementada la poltica de Preventivo SI NO SI SI NO
Probabilidad 75
informacin de autenticacin contrasea segura 20 15 0 20 20 0
Se cuenta con un procedimiento formal de Preventivo SI SI NO NO SI
R6. Error del administrador Probabilidad 60
control de cambios 20 15 15 0 0 10
Se tiene implementada la poltica para Preventivo SI NO SI SI NO
R7. Instalacin de software
restringir la instalacin de software por parte Probabilidad 75
no autorizado 20 15 0 20 20 0
de los usuarios
R8. Interceptacin no Los canales de comunicaciones con las Preventivo SI SI SI NO NO
autorizada de informacin en regionales utilizan protocolos de encripcin Probabilidad 70
trnsito para la transmisin de datos. 20 15 15 20 0 0
Se cuenta con una plataforma en alta Correctivo SI SI NO SI NO
R9. Interrupcin en los Impacto 55
disponibilidad 5 15 15 0 20 0
servicios
Se cuenta con un procedimiento formal de Probabilidad Preventivo SI SI NO NO SI 60
104
control de cambios 20 15 15 0 0 10
Centro principal de procesamiento TIER III y Correctivo SI SI NO NO SI
Impacto 45
El acceso de los usuarios al los recursos Preventivo SI SI SI NO NO
tecnolgicos se controla a travs del Probabilidad 70
directorio activo 20 15 15 20 0 0
R10. Modificacin sin Las aplicaciones cuentan con esquemas de Preventivo SI NO NO NO NO
autorizacin Probabilidad 35
Se cuenta con un esquema de privilegios Preventivo SI NO SI NO NO
Probabilidad 55
Se cuenta con un sistema de control de Preventivo SI SI SI SI SI
seguras y cmaras de vigilancia 20 15 15 20 20 10
R11. Robo de equipos Existe guardias de seguridad que revisan a Preventivo SI SI SI NO SI
Probabilidad 80
los equipos que entran y salen de la entidad 20 15 15 20 0 10
Correctivo SI SI SI SI SI
Existen plizas contra robo de equipos Impacto 85
5 15 15 20 20 10
Existe un plataforma de seguridad perimetral Preventivo SI SI SI NO NO
Probabilidad 70
en alta disponibilidad 20 15 15 20 0 0
R12. Robo de informacin Existe un esquema de premisos Preventivo SI SI SI NO NO
implementado en el FileServer y en las Probabilidad 70
aplicaciones 20 15 15 20 0 0
Se cuenta con un sistema de control de Preventivo SI SI SI SI SI
R13. Suplantacin de
identidad de usuarios 20 15 15 20 20 10
seguras y cmaras de vigilancia
R14. Uso inadecuado de Los aplicativos crticos de la entidad tienen Preventivo SI NO SI NO NO
sistemas para generar un esquema de autenticacin integrado con Probabilidad 55
fraudes el dominio y basado en roles y permisos 20 15 0 20 0 0
Se cuenta con una plataforma en alta Correctivo SI SI NO SI NO
R15. Uso inadecuado de Impacto 55
disponibilidad 5 15 15 0 20 0
sistemas que generan
interrupcin Centro principal de procesamiento TIER III y Correctivo SI SI NO NO SI
Impacto 45
El acceso al los recursos tecnolgicos se Preventivo SI SI NO NO NO
Probabilidad 50
controla a travs del directorio activo 20 15 15 0 0 0
Las aplicaciones cuentan con esquemas de Preventivo SI SI NO NO SI
R16. Abuso de privilegios Probabilidad 60
Se cuenta con un esquema de privilegios Correctivo SI SI NO NO NO
Impacto 35
105
5.3.2.6. DETERMINAR DESPLAZAMIENTO MAPA DE CALOR
Despus de evaluar los aspectos, caractersticas o cualidades del control, se

procedi a determinar el nivel de desplazamiento que puede llegar a generar el
control dentro de la matriz de riesgo de acuerdo a su efectividad.
Para determinar el nivel de desplazamiento, se utilizo los siguientes criterios de

valoracin66:
Tabla 32. Valores de desplazamiento que genera el control
Valores de calificacin Dependiendo si el control afecta Probabilidad o Impacto

del control Niveles a disminuir en la probabilidad Niveles a disminuir en el impacto
Entre 0 y 50 puntos 0 0
El nivel de desplazamiento que genera la efectividad del control, permite

determinar el riesgo residual y por consiguiente las acciones de tratamiento de
riesgos a que hubiese lugar.
La siguiente fue la valoracin que se realiza para determinar el nivel de

desplazamiento en el mapa de riesgos de los controles identificados:
66
Departamento Administrativo de la Funcin Pblica, Gua para la administracin del riesgo, Pg., 35
106
Tabla 33. Determinacin nivel de desplazamiento
DESPLAZAMIENTO MAPA DE RIESGOS

Inherente Disminucin Residual
Total Controles
Total Controles
Probabilidad
Probabilidad
Probabilidad
Nivel Riesgo
Nivel riesgo
Impacto
Impacto
Impacto
TOTAL
RIESGO \ AMENAZA DESCRIPCION DEL CONTROL
PUNTAJE
Se cuenta con un sistema de control de acceso biomtrico

75 1 0
para ingresar a las reas seguras y cmaras de vigilancia
Existe un plataforma de seguridad perimetral en alta
70 1 0
disponibilidad
El acceso de los usuarios al los recursos tecnolgicos se Riesgo Riesgo
R1. Acceso no autorizado 70 4 5 1 3 0 0 1 5
controla por el directorio activo Extremo Medio
Las aplicaciones cuentan con esquemas de seguridad
35 0 0
basado en roles y permisos
Se cuenta con un esquema de privilegios sobre el fileserver 35 0 0
R2. Ataques externos / internos Existe un plataforma de seguridad perimetral en alta Riesgo Riesgo
90 4 4 2 2 0 0 2 4
(hacking no tico) disponibilidad Extremo Medio
R3. Cambio de privilegios sin Se cuenta con un procedimiento formal de control de Riesgo
60 4 3 Riesgo Alto 1 1 0 0 3 3
autorizacin cambios Medio
Centro principal de procesamiento con nivel de TIER III y
R4. Desastres naturales 45 0 0
Centro alterno de procesamiento con nivel de TIER II
(Terremotos, Incendios, 1 4 Riesgo Bajo 0 1 1 3 Riesgo Bajo
Inundaciones, etc.) Simulacros de evacuacin 60 0 1
R5. Divulgacin de informacin Riesgo

Se tiene implementada la poltica de contrasea segura 75 3 3 Riesgo Medio 1 1 0 0 2 3
de autenticacin Medio
Se cuenta con un procedimiento formal de control de Riesgo
R6. Error del administrador 60 4 3 Riesgo Alto 1 1 0 0 3 3
cambios Medio
R7. Instalacin de software no Se tiene implementada la poltica para restringir la
75 3 2 Riesgo Medio 1 1 0 0 2 2 Riesgo Bajo
autorizado instalacin de software por parte de los usuarios
R8. Interceptacin no autorizada Los canales de comunicaciones con las regionales utilizan Riesgo
70 4 4 1 1 0 0 3 4 Riesgo Alto
de informacin en trnsito protocolos de encripcin para la transmisin de datos. Extremo
Se cuenta con una plataforma en alta disponibilidad 55 0 1

R9. Interrupcin en los servicios 3 3 Riesgo Medio 1 1 2 2 Riesgo Bajo
Se cuenta con un procedimiento formal de control de 60 1 0
107
cambios
Centro principal de procesamiento con nivel de TIER III y
45 0 0
El acceso de los usuarios al los recursos tecnolgicos se
70 1 0
controla a travs del directorio activo
R10. Modificacin sin Las aplicaciones cuentan con esquemas de seguridad
autorizacin basado en roles y permisos
Se cuenta con un sistema de control de acceso biomtrico

100 2 0
para ingresar a las reas seguras y cmaras de vigilancia
Existe guardias de seguridad que revisan a los equipos que Riesgo
R11. Robo de equipos 80 3 3 Riesgo Medio 2 4 0 2 1 1
entran y salen de la entidad Inusual
Existen plizas contra robo de equipos 85 0 2
Existe un plataforma de seguridad perimetral en alta

70 1 0
disponibilidad
R12. Robo de informacin 3 4 Riesgo Alto 2 0 1 4 Riesgo Bajo
Existe un esquema de premisos implementado en el
70 1 0
FileServer y en las aplicaciones
R13. Suplantacin de identidad Se cuenta con un sistema de control de acceso biomtrico
de usuarios para ingresar a las reas seguras y cmaras de vigilancia
Los aplicativos crticos de la entidad tienen un esquema de
R14. Uso inadecuado de
autenticacin integrado con el dominio y basado en roles y 55 2 4 Riesgo Medio 1 1 0 0 1 4 Riesgo Bajo
sistemas para generar fraudes
permisos
R15. Uso inadecuado de Se cuenta con una plataforma en alta disponibilidad 55 0 1

Riesgo
sistemas que generan 2 4 Riesgo Medio 0 1 2 3
Centro principal de procesamiento con nivel de TIER III y Medio
interrupcin 45 0 0
El acceso al los recursos tecnolgicos se controla a travs

50 0 0
del directorio activo
Las aplicaciones cuentan con esquemas de seguridad Riesgo

R16. Abuso de privilegios 60 4 4 1 1 0 0 3 4 Riesgo Alto
basado en roles y permisos Extremo
108
5.3.2.7. DETERMINACION RIESGO RESIDUAL
Una vez determinado el nivel de desplazamiento que genero el control por
disminucin de la probabilidad o del impacto, se procedi a elaborar la matriz de
riesgos residual, para lo cual, se ubico el riesgos residual dentro del mapa de
riesgos teniendo en cuenta el nuevo valor de su probabilidad y de su impacto.
El desplazamiento que se genero dentro de la matriz de riesgos determino la

opcin de tratamiento para el riesgo.
La siguiente es la distribucin de riesgo residual asociados a los activos de la

direccin de tecnologa:
Figura 15. Distribucin del riesgo residual activos Direccin de Tecnologa

Fuente: El autor
5.3.2.8. MAPA DE RIESGO RESIDUAL

Los siguientes son los mapas de riesgo residual una vez valorada la efectividad de
los controles identificados:
109
Figura 16. Mapa Riesgo residual general proceso de tecnologa
Figura 17. Mapa Riesgo residual detallado proceso de tecnologa
110
5.3.2.9. COMPARATIVA MAPAS DE CALOR
Los siguientes son los comparativos entre el mapa de riesgo inherente y el riesgo residual:
Figura 18. Comparativo Mapas de Calor Consolidadas
111
Figura 19. Comparativo Mapas de Calor Detalladas
112
5.3.3. PLANES DE TRATAMIENTO DE RIESGO
Con el objetivo de gestionar el riesgo residual se establecieron los planes de
tratamiento orientados a preservar las caractersticas de confidencialidad,
integridad y disponibilidad de los activos de informacin de tecnologa
seleccionados para la respectiva valoracin de riesgos. Para determinar la opcin
para el tratamiento del riesgo, se utilizo como base el siguiente mapa de calor que
especifica para cada una de las posiciones de la matriz de 5x5 la accin a seguir:
Figura 20. Mapa de calor opcin tratamiento de riesgo

Fuente: La entidad
Dependiendo del desplazamiento o no que generaron los controles valorados, se

definieron planes de tratamiento relacionadas para evitar, disminuir o mitigar el
riesgo residual de acuerdo a los siguientes criterios:
113
Tabla 34. Criterios para tratamiento de riesgos
Opcin Accin de seguir

Evitar Establecer las medidas orientadas a prevenir su materializacin.
Reducir Establecer medidas encaminadas a disminuir tanto la probabilidad mediante
medidas de prevencin, como el impacto mediante medidas de proteccin.
Transferir Si es posible, reducir su efecto a travs del traspaso del riesgo a otras
organizaciones (ej. Seguros, tercerizacin de servicios).
Asumir Si al mitigar el riesgo este queda como un riesgo residual, se puede aceptar
el riesgo sin necesidad de tomar otras medidas de control.
Las siguientes son las opciones que se establecieron para el tratamiento de los
riesgos residuales de acuerdo a su a posicin en la matriz de 5x5:
Tabla 35. Opciones tratamiento riesgo residual del proceso de tecnologa
Riesgos Riesgo Opcin de tratamiento
R1. Acceso no autorizado Riesgo Medio Disminuir el riesgo

R2. Ataques externos / internos (hacking no tico) Riesgo Medio Disminuir el riesgo
R3. Cambio de privilegios sin autorizacin Riesgo Medio Disminuir el riesgo
R4. Desastres naturales Riesgo Bajo Reducir el riesgo
R5. Divulgacin de informacin de autenticacin Riesgo Medio Disminuir el riesgo
R6. Error del administrador Riesgo Medio Disminuir el riesgo
R7. Instalacin de software no autorizado Riesgo Bajo Reducir el riesgo
R8. Interceptacin no autorizada de informacin en trnsito Riesgo Alto Prevenir el riesgo.
R9. Interrupcin en los servicios Riesgo Bajo Reducir el riesgo
R10. Modificacin sin autorizacin Riesgo Bajo Reducir el riesgo
R11. Robo de equipos Riesgo Inusual Aceptar el riesgo
R12. Robo de informacin Riesgo Bajo Reducir el riesgo
R13. Suplantacin de identidad de usuarios Riesgo Bajo Reducir el riesgo
R14. Uso inadecuado de sistemas para generar fraudes Riesgo Bajo Reducir el riesgo
R15. Uso inadecuado de sistemas que generan interrupcin Riesgo Medio Disminuir el riesgo
R16. Abuso de privilegios Riesgo Alto Prevenir el riesgo.
Los siguientes son los planes de tratamiento que se definieron para evitar,
disminuir o mitigar los riesgos residuales del proceso de tecnologa:
114
Tabla 36. Plan de tratamiento de riesgos residuales proceso de Tecnologa
Riesgo Plan de Afecta

Riesgos Activos afectados Descripcin plan de accin Responsable
Residual Tratamiento D I C
Realizar peridicamente pruebas de Hacking tico para

establecer el nivel de proteccin de la infraestructura de Oficial de Seguridad
Area administracin de plataforma, Bases TI, sobre todo, los servicios publicados hacia la web
de datos, Cuartos de Rack Adquirir una solucin para el monitoreo de Logs y
Data Center del proveedor, Directorio Direccin de Tecnologa
correlacin de eventos
R1. Acceso no Activo, Equipos de seguridad perimetral, Riesgo Disminuir el
I C Monitorear peridica los Logs de eventos de seguridad
autorizado Servidores de Administracin, Servidores Medio riesgo Oficial de Seguridad
y las bitcoras de entrada a las reas de la entidad.
de bases de datos de produccin,
Servidores de aplicaciones de produccin, Revisar peridicamente el estado de los usuarios, roles
Plataforma de Correo y permisos en el sistema de control de acceso, Oficial de Seguridad
directorio activo, bases de datos y aplicaciones
Realizar permanentemente campaas de seguridad Oficial de Seguridad
Bases de datos, Equipos de seguridad
Realizar peridicamente prueba de Hacking tico con el
R2. Ataques externos perimetral, Servidores de produccin
Riesgo Disminuir el objetivo de establecer el nivel de proteccin de la
/ internos (hacking no (Administracin, bases de datos, D I C Oficial de Seguridad
Medio riesgo infraestructura de TI, sobre todo, los servicios de la
tico) aplicaciones), Plataforma de Correo, Data
entidad publicados hacia la web
Center
Revisar peridicamente el estado de los usuarios, roles
Bases de Datos, Directorio Activo, y permisos en el sistema de control de acceso, Oficial de Seguridad
R3. Cambio de
Servidores de produccin (Administracin, Riesgo Disminuir el directorio activo, bases de datos y aplicaciones
privilegios sin D I
bases de datos, aplicaciones), Plataforma Medio riesgo
autorizacin Garantizar que este implementada la poltica de Oficial de Seguridad
de Correo
contrasea segura Direccin de Tecnologa
R4. Desastres Riesgo Reducir el Garantizar la debida ejecucin de las pruebas de Coordinador plan de
Data Center del proveedor D
naturales Bajo riesgo continuidad continuidad
R5. Divulgacin de Garantizar que este implementada las polticas de
Bases de Datos, Directorio Activo Riesgo Disminuir el Direccin de seguridad
informacin de C contrasea segura y bloqueo automtico de pantallas.
Servidores de Administracin Medio riesgo
autenticacin Realizar permanentemente campaas de seguridad Oficina de Informtica
Bases de datos, Data Center, Directorio Monitorear peridica los Logs de eventos de seguridad. Oficina de Informtica
Activo, Red LAN, Red WAN, Servidores Garantizar la debida capacitacin del personal de TI Direccin de Tecnologa
R6. Error del Riesgo Disminuir el
de produccin (Administracin, bases de D I C
administrador Medio riesgo Garantizar que todo cambio que se realizan en
datos, aplicaciones), Plataforma de Direccin de Tecnologa
Correo, Equipos de seguridad perimetral produccin es aprobado por el comit de cambios
115
Riesgo Plan de Afecta
R7. Instalacin de Garantizar que la poltica que restringe instalacin de

Directorio Activo, Computadores, Riesgo Reducir el Oficial de Seguridad
software no I software por parte de las usuarios est debidamente
Porttiles Bajo riesgo Direccin de Tecnologa
autorizado implementada
Implementar un portal de intercambio seguro que
garantice la integridad, confidencialidad, autenticidad y
R8. Interceptacin no Evitar el Direccin de Tecnologa
no repudio de la informacin que se intercambi con
autorizada de Riesgo riesgos terceros
Red LAN, Red WAN, Correo I C
informacin en Alto Atencin
trnsito inmediata Implementar mecanismos que garanticen el cifrado de
la informacin que se intercambia con terceros a travs Direccin de Tecnologa
del correo electrnico
Monitorear peridica los Logs de eventos de seguridad. Direccin de Tecnologa
Garantizar que todo cambio que se realizan en
Direccin de Tecnologa
Bases de datos, Data Center del produccin es aprobado por el comit de cambios
R9. Interrupcin en Riesgo Reducir el
proveedor, Directorio Activo, Red LAN, D Garantizar que todos los contratos con los proveedores
los servicios Bajo riesgo Direccin de Tecnologa
Red WAN, Servidores de Produccin de TI tengan Acuerdos de niveles de servicio
Garantizar la debida ejecucin de las pruebas de Coordinador plan de
contingencia de TI continuidad
Bases de datos, Directorio Activo, Monitorear peridica los Logs de eventos de seguridad. Oficial de Seguridad
Medidas
Servidores de Administracin, Servidores Garantizar que todo cambio que se realizan en
R10. Modificacin sin Riesgo preventivas Direccin de Tecnologa
de bases de datos de produccin, I produccin es aprobado por el comit de cambios
autorizacin Bajo para reducir
Servidores de aplicaciones de produccin, Revisar peridicamente el estado de los usuarios, roles
el riesgo Oficial de Seguridad
Plataforma de Correo y permisos en el sistema
R11. Robo de rea administracin de plataforma, Riesgo Aceptar el
C
equipos Cuartos de Rack, Data Center Inusual riesgo
Monitorear peridica los Logs de eventos de seguridad. Oficial de Seguridad
y permisos los sistemas.
Bases de datos, Directorio Activo, Medidas
Implementar mecanismo de cifrado de disco duro de los
R12. Robo de Servidores de Administracin, Servidores Riesgo preventivas Direccin de Tecnologa
C dispositivos mviles y porttiles de la entidad
informacin de bases de datos de produccin, Bajo para reducir
Plataforma de Correo el riesgo Garantizar la implementacin del bloqueo de
dispositivos externos en los computadores de la entidad
Clasificar la informacin de la entidad, de acuerdo a si Oficial de Seguridad
es pblica, privada o confidencial Dueos de proceso
116
Afecta
Riesgo Plan de

y permisos en el sistema de control de acceso, Oficial de Seguridad
Medidas directorio activo, bases de datos y aplicaciones
R13. Suplantacin de Riesgo preventivas
Directorio Activo, Servicio de Correo I C Revisar peridicamente la efectividad de la solucin de Oficial de Seguridad
identidad de usuarios Bajo para reducir
anti spam Direccin de Tecnologa
el riesgo
Garantizar que este implementada las polticas de Oficial de Seguridad
contrasea segura y bloqueo automtico de pantallas. Direccin de Tecnologa
Realizar permanentemente campaas de seguridad Oficial de Seguridad
Bases de datos, Directorio Activo,
Medidas Revisar peridicamente el estado de los usuarios, roles
R14. Uso inadecuado Servidores de Administracin, Servidores
Riesgo preventivas y permisos en el sistema de control de acceso, Direccin de Tecnologa
de sistemas para de bases de datos de produccin, I C
Bajo para reducir directorio activo, bases de datos y aplicaciones
generar fraudes Servidores de aplicaciones de produccin,
el riesgo Oficial de Seguridad
Plataforma de Correo Garantizar la debida segregacin de funciones
Bases de datos, Data Center del Medidas Monitorear de manera peridica los Logs de eventos de
proveedor, Directorio Activo, Red LAN, prontas y seguridad.
R15. Uso inadecuado
Red WAN, Servidores de Administracin, Riesgo adecuadas
de sistemas que D Revisar peridicamente el estado de los usuarios, roles
Servidores de bases de datos de Medio para
generan interrupcin y permisos en el sistema de control de acceso, Direccin de Tecnologa
produccin, Servidores de aplicaciones de disminuir el
produccin, Plataforma de Correo riesgo directorio activo, bases de datos y aplicaciones
Monitorear de manera peridica los Logs de eventos de
seguridad y las actividades que realizan los Oficial de Seguridad
administradores
Data Center del proveedor, Directorio y permisos en el sistema de control de acceso, Oficial de Seguridad
Activo, Servidores de Administracin, directorio activo, bases de datos y aplicaciones
R16. Abuso de Riesgo Atencin
Servidores de bases de datos de D I C
privilegios Alto inmediata Eliminar (si es posible) o bloquear las cuentas de sper
produccin, Servidores de aplicaciones de
produccin, Plataforma de Correo administradores. En caso de bloqueo la contrasea de Oficial de Seguridad
la misma deber ser administrado por el oficial de Direccin de Tecnologa
seguridad
Garantizar que todo cambio que se realizan en
produccin es aprobado por el comit de cambios
117
5.3.4. POLITICAS DE SEGURIDAD DE LA INFORMACION
Se elaboro el manual de Polticas de Seguridad de la informacin, que
corresponde al documento que contiene las polticas, normas y lineamientos que
regirn la seguridad de la informacin en la entidad y las responsabilidades y
obligaciones de todos los colaboradores y terceros que tengan acceso a la
El debido cumplimiento de las polticas de seguridad de la informacin por parte

todos los colaboradores y de terceros que tienen relacin alguna con la entidad,
permite minimizar al mximo los riesgos asociados con la seguridad de la
informacin, pero para alcanzar este propsito, es necesario que la poltica del
sistema de gestin de seguridad de la informacin sea impulsada por la alta
directiva de la entidad.
En el presente trabajo se definido la poltica del Sistema de Gestin de Seguridad

de la informacin y poltica que lo soportan (ver Anexo C), las cuales demuestran
que existe un compromiso expreso por para de la Alta Directiva con relacin a la
seguridad de la informacin. Adicional, a estas polticas es necesario contar con
polticas relacionadas de seguridad involucren aspectos administrativos, fsicos y
tecnolgicos orientadas a proteger los activos de informacin a travs de los
cuales se gestiona la informacin del negocio
Es fundamental divulgar en la entidad de forma adecuada el propsito de las

polticas de seguridad de la informacin antes de su aplicacin, con el objetivo de
que los colaboradores y terceros comprendan como estas polticas ayudan a
proteger la confidencialidad, integridad y disponibilidad de la informacin del
negocio. Esta labor es esencial, para que los usuarios no vean en estas polticas
como una serie de restricciones que les complicaran sus labores diarias, sino por
el contrato, lo que se busca con una adecuada socializacin es conseguir que los
usuarios entiendan los riesgos a los cuales est expuesta la entidad y las
necesidades de tener unas normas para evitarlos.
El manual de Polticas de Seguridad de la Informacin desarrollado se basa en los

objetivos de control y controles definidos en el Anexo A de la Norma ISO/IEC
27001:2013, y para efecto del presente trabajo se documentaron las siguientes
polticas de seguridad:
118
A.5. Poltica General de Seguridad de la Informacin
A.6. Organizacin de Seguridad de la Informacin
A.7. Seguridad de los Recursos Humanos
A.8. Gestin de Activos
ANEXO A NORMA ISO 27001:2013 A.9. Control de Acceso
A.10. Criptografa
A.11. Seguridad Fsica y del Entorno
A.12. Seguridad de las Operaciones
A.13. Seguridad de las Comunicaciones
A.14. Adquisicin, Desarrollo y Mantenimiento de Sistemas
A.15. Relaciones con los Proveedores
A.16. Gestin de Incidentes de Seguridad de la Informacin
A.17. Seguridad de la Informacin en la Continuidad del Negocio
A.18. Cumplimiento de Requisitos Legales y Contractuales
Las Polticas de Seguridad de la Informacin definidas en este manual, son de

obligatorio cumplimiento por todos los colaboradores y terceros que laboran o
presten sus servicios a la entidad.
La documentacin de cada una de estas polticas, se presenta en el Anexo F de

presente de trabajo de grado.
5.3.5. INCIDENTES DE SEGURIDAD

El objetivo principal de la Gestin de Incidentes de Seguridad de la informacin es
proveer un mecanismo estructurado y planificado que permita gestionar de
manera adecuada los incidentes de seguridad que puede afectar la disponibilidad,
integridad, confidencialidad de la informacin de la entidad.
La Gestin de Incidentes de seguridad de la informacin debe garantizar que:
Los eventos de seguridad de la informacin se detectan y tratan con eficiencia,

con el propsito de identificar si los mismos se clasifican como incidentes de
seguridad de la informacin.
Los incidentes de seguridad de la informacin se gestionan de forma eficiente y
adecuada.
119
Se implementan las medidas de seguridad adecuadas con el objetivo de
mitigar los incidentes presentados.
La entidad aprende de las lecciones que dejan los incidentes de seguridad, con
el fin de mejorar las medidas y mecanismos orientados a proteger la seguridad
de la informacin.
Se disponen de mecanismo que permitan cuantificar y monitorear los
incidentes de seguridad de la informacin.
Para una adecuado gestin de incidentes se seguridad, es necesarios que todos

los colaboradores y terceros que laboren o tengan relacin con la entidad,
identifiquen o detecten un evento de seguridad de la informacin que pueden
afectar la Disponibilidad, Integridad y Confidencialidad de los activos de
informacin a travs de los cuales se gestiona la informacin de la entidad, y los
reportar de manera oportuna a la reas encargadas de analizar y determinar las
medidas para contener los incidentes de seguridad.
As mismo, le entidad debe contar con el equipo de Respuesta a Incidentes de

Seguridad de la informacin, quien tendr la responsabilidad de analizarlos y
trataros.
5.3.5.1. FASES GESTION DE INCIDENTES DE SEGURIDAD

De acuerdo a la gua de Gestin de Incidentes de seguridad de la informacin del
MINTIC [16], las siguientes son las actividades involucradas en el ciclo de vida de
la gestin de incidentes de seguridad:
Figura 21. Ciclo de vida gestin incidentes de seguridad de la informacin

Fuente: http://www.mintic.gov.co/gestionti/615/articles-
5482_Gestion_Incidentes.pdf
120
Tabla 37. Actividades Ciclo Gestin de Incidentes
Actividad Objetivo
Preparacin Se obtienen los recursos para garantizar las fases del ciclo de
vida de la gestin de incidentes de seguridad. Tambin se
determina como se van a clasificar los incidentes de seguridad
y los tiempos para su atencin.
Deteccin Corresponde a la deteccin de un evento de seguridad de la

informacin, ya sea por parte de los usuarios o del rea de
tecnologa o del oficial de seguridad. Una vez identificado el
evento, se reporta.
Anlisis Evaluacin de los eventos se seguridad de la informacin con

el propsito de determinar si se clasifica como incidente de
seguridad.
Contencin Corresponde a establecer los mecanismos para evitar que el

incidente siga generando daos.
Erradicacin Busca eliminar la causa del incidente y todo rastro de daos.
Recuperacin Consiste en restaurar los servicios afectados usando

procedimientos de recuperacin.
Actividades Corresponde al reporte apropiado y oportuno del incidente, la

post incidente generacin de las lecciones aprendidas y el registro en la base
de conocimiento, que son insumos para alimentar los
indicadores de gestin del Sistema de Gestin de Seguridad de
la Informacin.
5.3.5.2. CATEGORIZACION INCIDENTES DE SEGURIDAD

Los incidentes de seguridad de la informacin pueden ser generados por acciones
humanas deliberadas o accidentales y tambin por medios tcnicos o fsicos, por
lo tanto, para la clasificacin de los incidentes de seguridad de la informacin se
considerar las amenazas como factores de categorizacin67.
67
Gua Tcnica Colombiana, GTS-ISO/IEC 27035:2012, Pg. 64.
121
Para establecer la clasificacin de los incidentes de seguridad de la informacin
de la entidad, se utiliz como marco de referencia la categorizacin que plantea la
GUA DE SEGURIDAD DE LAS TIC (CCN-STIC-817) [17], del Centro Criptolgico
Nacional de Espaa.
Tabla 38. Categorizacin Incidentes de Seguridad de la Informacin 68

Clase de
Incidente Descripcin
Incidente
Acciones de intentar y/o conseguir cambiar, elevar, asignar o
Abuso de privilegios o denegar sin la debida autorizacin privilegios a recursos,
cambios de privilegios sin aplicaciones o informacin ms all de los que un usuario o
autorizacin administrador ya posee legtimamente y que de acuerdo a sus
funciones y responsabilidades no deberan tener.
Abuso de Copia o uso indebido o no autorizado de material publicado,
privilegios y Infracciones de derechos
patentado o en general protegido por derechos de propiedad
usos de autor o piratera
intelectual.
inadecuados
Violacin de la Polticas Incidentes de seguridad generados por el incumplimiento o violacin
Seguridad de la de las polticas de Seguridad de la Informacin establecidos en la
informacin. Entidad
Incumplimiento normativo Incumplimiento normativo vigente en seguridad aplicable a la
y de ley Entidad impartido por la jurisprudencia o por entes de control.
Todo tipo de ingreso y operacin no autorizada a los sistemas y/o a
la informacin, sea o no exitoso. Son parte de esta categora:
Accesos no autorizados exitosos, sin perjuicios visibles a
Acceso no Autorizado componentes tecnolgicos.
Intentos recurrentes y no recurrentes de acceso no autorizado.
Abuso y/o Mal uso de los servicios informticos internos o
externos que requieren autenticacin.
Acceso no Incidentes de seguridad relacionados con la modificacin, alteracin
Modificacin no
autorizado o borrado de la informacin de manera no autorizada o los intentos
Autorizada
recurrentes que se detecten asociados a este tipo de incidentes
Incidentes relacionados con la Fuga, robo o prdida o copia de
Fuga o perdida de
informacin confidencial o sensible de la entidad, generados por
informacin
agentes internos o externos de manera deliberada.
Robo o prdida de equipamiento, porttiles, cintas de copias de
Robo o prdida de equipo seguridad, equipamiento de redes, etc, que contengan informacin
confidencial de la entidad
Deteccin o ataque de Se refiere a la introduccin de cdigos maliciosos en la
Cdigo
virus, software malicioso infraestructura tecnolgica de la Entidad. Ejemplos: Virus
Malicioso
y/o actividad no confiable. informticos, Troyanos, spam, Gusanos informticos
68
GUA DE SEGURIDAD DE LAS TIC (CCN-STIC-817), Pg. 9
122
Propagacin de contenido La prdida de seguridad de la informacin es causada por la
indeseable propagacin de contenido indeseable a travs de redes de
informacin, tales como: contenido ilegal, contenido que provoca
pnico, contenido malicioso, contenido abusivo, etc.
Denegacin del servicio - Incidentes que generan la interrupcin prolongada en un servicio de
tecnologa o que un sistema, servicio o red deje de operar a su
capacidad prevista.
Modificacin de sitios web Vulnerabilidades explotadas con xito en los servidores web o en las
Ataques (Defacement) aplicaciones que estos alojan, que permiten a un atacante modificar
contenidos y pginas web.
Ingeniera social, fraude o Corresponden a la interceptacin, espionaje, chuzadas de telfonos,
phishing ingeniera social o phishing, con el objetivo de obtener informacin
sin autorizacin y/o por engao.
Escaneos, pruebas o
Agrupa los eventos que buscan obtener informacin de la
intentos de obtener
infraestructura tecnolgica de la Entidad a travs de sniffers
informacin, redes o
(software utilizado para capturar informacin que viaja por la red) o
servidores sin
Pruebas y deteccin de Vulnerabilidades.
autorizacin.
reconocimientos
En esta categora se consideran aquellos eventos de seguridad
Alarmas de sistemas de (cortafuegos, sistemas de deteccin de intrusos, filtrado web, etc.)
monitorizacin que puedan ser significativos pero que no permitan
clasificar al incidente en alguna de las categoras establecidas.
Incluye los eventos que atentan contra los recursos tecnolgicos por
el mal uso y comprenden:
Mal uso de los
Mal uso de los recursos - Mal uso y/o Abuso de servicios informticos internos o externos
recursos
tecnolgicos - Violacin de las normas de acceso a Internet
tecnolgicos
- Mal uso y/o Abuso del correo electrnico de la Entidad
- Modificacin, instalacin o eliminacin no autorizada de software
No clasificados en ninguna de las categoras de incidentes
Otro Incidente
anteriores
5.3.5.3. PROCEDIMIENTO REPORTE Y ATENCION DE INCIDENTES

El procedimiento para el reporte y atencin de incidentes de seguridad de
informacin, corresponde al Anexo G de presente de trabajo de grado.
123
6. RESULTADOS Y DISCUSIONES
Los resultados obtenidos de este proyecto se derivan del desarrollo de tres fases
que fueron definidas para dar cumplimiento a los objetivos especficos que se
establecieron con el propsito de poder alcanzar el objetivo general de proyecto.
Las fases que se plantearon para llevar a cabo el proyecto son:
Fase I - Diagnostico. Actividades desarrolladas con el propsito de poder

identificar el nivel de madurez inicial de la Entidad con respecto al
establecimiento del Sistema de Gestin Seguridad de la informacin.
Fase II Preparacin. Actividades que de acuerdo a la norma ISO/IEC
27001:2013, se deben desarrollar para establecer el Sistema de Gestin de
Fase III Planificacin. Corresponde a la valoracin de los riesgos de
seguridad y la definicin del marco normativo de polticas y lineamientos en
torno a la seguridad de la informacin que se debern establecer en la entidad.
Para el desarrollo de estas actividades se utilizaron diferentes mtodos o

instrumentos de recoleccin de informacin, como, entrevistas, cuestionarios,
formularios en Excel, evaluacin con base en la experiencia del autor, documentos
fsicos y electrnicos, documentos publicaciones en la WEB, entre otros.
Esto mtodos fueron aplicados y posteriormente analizados, cuyos resultados se

exponen a continuacin de acuerdo a las fases de proyecto:
6.1. RESULTADOS FASE I DIAGNOSTICO

Esta fase se planteo y desarrollo con el propsito de poder alcanzar los siguientes
objetivos especficos del proyecto:
OE1. Analizar la situacin actual de la entidad, con relacin a la Gestin de

OE2. Determinar el Nivel de Madurez en el que se encuentra la entidad para su
modelo de seguridad de la informacin.
OE3. Establecer el nivel de cumplimiento de la entidad frente a los controles
establecidos en el Anexo A de la ISO 27001:2013 y definir los planes de
accin orientados a cerrar las brechas de seguridad encontradas.
124
Los resultados de los diagnsticos que se realizaron en esta fase permitieron
determinar:
El estado actual de la seguridad de la entidad que se encuentra desarrollado

en el capitulo 5.1.1 DIAGNOSTICO ESTADO ACTUAL DE LA SEGURIDAD
del presente trabajo, que permite alcanzar el objetivo especifico OE1.
La estratificacin de la entidad que se encuentra desarrollada en el capitulo
5.1.2. IDENTIFICACION ESTRATIFICACION DE LA ENTIDAD del presente
trabajo, que permite alcanzar el objetivo especifico OE2.
El nivel de cumplimiento de la entidad con relacin a los controles establecidos
en el Anexo A de la norma ISO 27001:2013 que se encuentra desarrollado en
el capitulo 5.1.3. NIVEL DE CUMPLIMIENTO ANEXO A - ISO 27001:2013 del
presente documento, que permite alcanzar el objetivo especifico OE3.
OE1. Anlisis de la situacin actual de la entidad con relacin a la Gestin de

La situacin actual de la entidad con relacin a la gestin de seguridad de la

informacin, se determino de acuerdo al diagnostico realizado en el capitulo 1.1.3.
DIAGNOSTICO SITUACION PROBLEMA del presente documento, dnde se
presenta un anlisis detallado de las diferentes situaciones que afectan la
seguridad de la entidad que permitieron establecer que el problema est asociado
a un Inadecuado Modelo de Gestin de Seguridad de la Informacin.
Para realizar este diagnostico se utilizo los siguientes mtodos de recoleccin y

evaluacin de informacin:
Evaluacin con base en la experiencia del autor, debido a que labora en la

entidad y conoce ha detalle el estado de la misma en torno a la seguridad de la
informacin.
Consulta de los documentos que contienen los resultados de las diferentes
auditoras realizadas al proceso de tecnologa, donde se evidenciaron una
serie de debilidades asociados a la seguridad de la informacin. La informacin
tomada de estos documentos para realizar el anlisis no fue anexada al
presente trabajo de grado, debido a que corresponden a informacin de
carcter interno y de tipo confidencial de la entidad.
125
En trminos general, las siguientes fueron las situaciones identificadas producto
del diagnostico de la situacin problema de la entidad:
Falta de un adecuado Gobierno de Seguridad en la Entidad.

La falta de concienciacin, apropiacin y conocimiento en temas de seguridad
por parte de todos los funcionarios
No existe una participacin activa de toda la organizacin en la definicin de
controles de seguridad basados en una evaluacin de riesgos
Los funcionarios no conciben la diferencia entre seguridad informtica y
seguridad de la informacin
No se cuentas con un sistema de informacin adecuado para la gestin de
riesgos de seguridad.
No existe una valoracin adecuado de riesgos de seguridad.
La poltica de seguridad no est alineada con los objetivos del negocio.
De acuerdo al anlisis del diagnostico realizado, se determino que la situacin de

la entidad con relacin a la gestin de seguridad de la informacin, corresponde a
un Inadecuado Modelo de Gestin de Seguridad de la Informacin.
Este diagnostico permitido determinar la situacin actual de la entidad con relacin

a la gestin de seguridad, lo cual permite alcanzar el objetivo especfico OE1.
OE2. Determinacin del Nivel de Madurez en el que se encuentra la entidad

para su modelo de seguridad de la informacin.
Para determinar el nivel de madurez de la entidad frente a un modelo de seguridad

de la informacin, se tom como referencia el mtodo para determinar el nivel de
estratificacin de las entidades que plantea el modelo seguridad de la informacin
para la estrategia de Gobierno en Lnea 2.069, el cual, permite determinar la
complejidad que le puede significar a la entidad la implementacin de su Sistema
de Gestin de Seguridad de la Informacin.
Para determinar el nivel de estratificacin de la entidad se utiliz el formato

relacionado en el Anexo A del presente trabajo de grado, el cual fue enviado a la
Direccin de Tecnologa para su respectivo diligenciamiento, debido a que la
mayora de las preguntas de este formato estn orientadas a evaluar aspectos
69
en Lnea 2.0, Pg. 8.
126
relacionados con, la infraestructura asociada al nmero total de computadores, los
servicios ofrecidos en lnea por la entidad y el tamao y capacidad del rea de
sistemas. Para la respuesta a la primera pregunta del formulario, que est
relacionado con el presupuesto de funcionamiento de la entidad, se acudi al rea
de contabilidad de la entidad.
Durante este proceso de recoleccin de informacin no se presento ningn

inconveniente debido a la colaboracin oportuna de las reas consultadas.
Los siguientes son los resultados obtenidos y los anlisis que se realizaron de
acuerdo a la informacin suministrada por la entidad para poder determinar su
nivel de estratificacin:
Con base en la sumatoria del puntaje asignado para cada uno de las
respuestas seleccionados, el puntaje total obtenido por la entidad fue de 22
puntos, lo que significa que la entidad se encuentra clasificada en un nivel
MEDIO SUPERIOR de estratificacin, lo cual, significara inicialmente un
esfuerzo considerable por parte de la entidad para el establecimiento y
implementacin de su Sistema de Gestin de Seguridad de la Informacin.
El presupuesto de la entidad para el ao 2014 fue aproximadamente de
$146.362.311.000, lo que supondra que la entidad pude asegurar la
disponibilidad de los recursos necesarios para el Sistema de Gestin de
Seguridad de la Informacin de acuerdo a lo establecido en el numeral c) del
captulo 5.1 Liderazgo y Compromiso de la norma ISO/IEC 27001:201370.
El nmero de computadores y servidores que posee la entidad, implica un
mayor esfuerzo para garantizar la seguridad de estos activos de informacin,
por lo tanto, es esencial valorar los riesgos de estos activos de informacin con
el objetivo de determinar su nivel de proteccin y por consiguiente establecer
las medidas de seguridad para salvaguardarlos.
El nmero de empleados de la area de tecnologa, refleja el tamao de la
entidad y los recursos que implica atender los requerimientos de los usuarios y
la prestacin de los servicios de tecnologa, los cuales, pueden no ser
suficientes en el momento que se requieran implementar las medidas y
controles que se establezcan productos de los diagnsticos y valoracin de
riesgos de seguridad que se realicen. Este es un factor que puede implicar un
70
127
mayor esfuerzo para la implementacin del Sistema de Gestin de Seguridad
de la Informacin en la entidad.
El rea de tecnologa de la entidad, adems de administrar y proveer los
recursos tecnolgicos, planea y desarrolla proyectos, factor fundamente en
caso de requerir la implementacin planes de accin y/o medidas de seguridad
que impliquen el establecimiento de un proyecto para su ejecucin.
Este diagnostico permitido determinar el Nivel de Madurez en el que se encuentra

la entidad frente a un modelo de seguridad de la informacin, lo cual permite
alcanzar el objetivo especfico OE2.
OE3. Establecer el nivel de cumplimiento de la entidad frente al Anexo A de

la ISO 27001:2013 y definir los planes de accin para cerrar brechas.
Para realizar este diagnstico se utiliz una lista de chequeo (ver Anexo B) basada
en un conjunto de preguntas con opcin de respuesta SI o NO, que fueron
respondidas por funcionarios de las reas de la entidad de acuerdo al objetivo de
control que se estaba evaluando.
Las preguntas de esta lista de chequeo que se relaciona en el Anexo B del

presente trabajo de grado, se disearon teniendo en cuenta los requerimientos
que establece el Anexo A de la norma ISO/IEC 27001:2013 para el cumplimiento
de cada uno los 113 controles que estn agrupados 14 dominios de control.
La siguiente tabla contiene el valor que se asigno a cada respuesta dependiendo

de la opcin seleccionada:
Respuesta Valor
SI 1
NO 0
Para determinar el nivel del cumplimiento del control se pondero el valor asignado
a las respuestas asociadas a l, resultado que se pondero con el valor obtenido
por los otros controles agrupados al determinado objetivo de control, para as
poder determinar el nivel de cumplimiento de los dominios de control y por ende el
de la entidad.
128
Para realizar este diagnostico se conto con la colaboracin de la Vicepresidencia
de Riesgos, la Direccin de Gestin Humana, la Jefatura de Recursos Fsicos y la
Direccin de Tecnologa y Direccin Jurdica, ya que los controles del Anexo A de
la norma ISO/IEC 27001:2013 prcticamente estn orientados a proteger la
seguridad de las personas, de la infraestructura fsica y lgica, de los recursos
tecnolgicos y por ende de la informacin, y garantizar el cumplimiento de la
normatividad vigente relacionado con seguridad de la informacin.
El diligenciamiento del Anexo B del presente trabajo que corresponde a una hoja
de Excel, fue dispendioso debido a la cantidad de controles que propone el Anexo
A de la norma ISO/IEC 27001:2013 y a la disponibilidad de tiempo por parte de
algunos funcionarios asignados para responder cada las preguntas que se
establecieron para medir el nivel de cumplimiento de dichos controles.
Con base en las respuestas dadas por los usuarios, el siguiente es el resultado del
nivel de cumplimiento de la entidad de los dominios y objetivos de control que
establece el Anexo A de la norma ISO/IEC 27001:2013:
Tabla 39. Cumplimiento Dominios y Objetivos de Control ISO 27001

OBJETIVO DE CONTROL SI
A.5 POLITICAS DE LA SEGURIDAD DE LA INFORMACION 33.33%
A.5.1 Orientacin de la direccin para la gestin de la seguridad de la informacin 33%
A.6 ORGANIZACIN DE SEGURIDAD DE LA INFORMACION 24.17%
A.6.1 Organizacin Interna 48.33%
A.6.2 Dispositivos mviles y teletrabajo 0.00%
A.7 SEGURIDAD DE LOS RECURSOS HUMANOS 47.04%
A.7.1 Antes de asumir el empleo 100.00%
A.7.2 Durante la ejecucin del empleo 41.11%
A.7.3 Terminacin y cambio de empleo 0.00%
A.8 GESTION DE ACTIVOS 43.06%
A.8.1 Responsabilidad por los activos 62.50%
A.8.2 Clasificacin de la informacin 66.67%
A.8.3 Manejo de Medios 0.00%
A.9 CONTROL DE ACCESO 61.15%
A.9.1 Requisitos de negocio para control de acceso. 69.05%
A.9.2 Gestin de acceso de usuarios 38.89%
A.9.3 Responsabilidad de los usuarios 50.00%
129
A.9.4 Control de acceso a sistemas y aplicaciones 86.67%
A.10 CRIPTOGRAFIA 0.00%
A.10.1 Controles Criptogrficos 0.00%
A.11 SEGURIDAD FISICA Y DEL ENTORNO 76.39%
A.11.1 reas seguras 66.67%
A.11.2 Equipos 86.11%
A.12 SEGURIDAD DE LAS OPERACIONES 91.67%
A.12.1 Procedimientos Operacionales y responsabilidades 62.50%
A.12.2 Proteccin contra cdigos maliciosos 100.00%
A.12.3 Copias de respaldo 100.00%
A.12.4 Registro y seguimiento 79.17%
A.12.5 Control de software operacional 100.00%
A.12.6 Gestin de la vulnerabilidad tcnica 100.00%
A.12.7 Consideraciones sobre auditorias de sistemas de informacin 100.00%
A.13 SEGURIDAD DE LAS COMUNICACIONES 74.58%
A.13.1 Gestin de la seguridad de las redes 66.67%
A.13.2 Transferencia de informacin 82.50%
A.14 ADQUISICIN, DESARROLLO Y MANTENIMIENTO DEL SISTEMA 37.04%
A.14.1 Requisitos de seguridad de los sistemas de informacin 66.67%
A.14.2 Seguridad en los procesos de desarrollo y de soporte 44.44%
A.14.3 Datos de prueba 0.00%
A.15 RELACIONES CON LOS PROVEEDORES 54.17%
A.15.1 Seguridad de la informacin en las relaciones con los proveedores 33.33%
A.15.2 Gestin de la prestacin de servicios de proveedores 75.00%
A.16 GESTIN INCIDENTES DE SEGURIDAD DE LA INFORMACIN 14.29%
A.16.1 Gestin de incidentes y mejoras en la seguridad de la informacin 14.29%
A.17 CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACION 58.33%
A.17.1 Continuidad de seguridad de la informacin 16.67%
A.17.2 Redundancias 100.00%
A.18 CUMPLIMIENTO 30.00%
A.18.1 Cumplimiento de requisitos legales y contractuales 60.00%
A.18.2 Revisiones de seguridad de la informacin 0.00%
Con base en esta informacin, la siguiente es la distribucin del nivel de

cumplimiento de la entidad con relacin de los 14 dominios de control que plantea
el Anexo A de ISO 27001:2013:
130
Figura 22. Nivel cumplimiento dominios de control Anexo A ISO 27001:2013
Fuente: El autor
Nivel Bajo (menor o igual al 33%): corresponden a 5 dominios de control cuyo

complimiento por parte de la entidad es menor al 33%, lo cual representa un
riesgo ALTO para la entidad, debido a la ausencia o inadecuada
implementacin de los controles que generan un nivel de bajo proteccin de
sus activos de informacin y/o en algunos casos, el incumplimiento de la
normatividad vigente relacionado con seguridad de la informacin.
Nivel Medio (mayor a 33% y menor 70%), corresponden a 6 dominios de
control cuyo cumplimiento por parte de la entidad implica un riesgo MEDIO,
debido a que algunos de los controles no estn debidamente implementados,
documentados o formalizados, o presentan algn tipo de debilidad que pueden
ser aprovechadas por amenazas internas o externas para atentar contra la
seguridad de la informacin de la Entidad.
Nivel Alto (mayor al 70%), corresponde a 3 dominios de control que se
encuentran en un nivel de implementacin ALTO, lo que representa un riesgo
BAJO para la entidad debido a que los controles implementados son efectivos
y por lo tanto garantizan la debida proteccin de sus activos de informacin.
El siguiente es el nivel de cumplimiento de la entidad con relacin al Anexo A de la

norma ISO/IEC 27001:2013:
131
Figura 23. Nivel cumplimiento entidad frente al Anexo A ISO 27001
Con base en los resultados obtenidos producto de la valoracin de las respuestas

dadas por los usuarios, se pudo establecer que el nivel de cumplimiento de la
entidad con relacin al Anexo A de la norma ISO/IEC 27001:2013, es del 46.09%,
que equivale a un grado MEDIO de implementacin de los controles, lo cual
implicar un esfuerzo considerable en la fase de implementacin del SGSI debido
a la ausencia de controles o al bajo grado de cumplimiento de algunos de ellos.
El anlisis realizado en el capitulo 5.1.3. NIVEL DE CUMPLIMIENTO ANEXO A -

ISO 27001:2013 del presente trabajo de grado, permiti definir una serie de
planes de accin orientados a cerrar las brechas encontradas con el objetivo de
subir el nivel de cumplimiento de los controles. Estos planes de accin se
muestran a continuacin de forma ordenada, de menor a mayor nivel de
cumplimiento de los respectivos objetivos de control:
132
Tabla 40. Planes de accin niveles cumplimiento controles Anexo A ISO 27001:2013
%
OBJETIVO DE CONTROL CAUSA PLAN DE ACCION
CUMPLE
No existen mecanismos para cifrar la Implementar cuanto antes los debidos mecanismos de
informacin que se intercambio al interior de la cifrado con el objetivo de asegurar la confidencialidad,
A.10 CRIPTOGRAFIA
0% entidad o con terceros. PA1 autenticidad e integridad de la informacin, tales como:
cifrado de correos, portal de intercambio seguro y
cifrado del almacenamiento de dispositivos movibles.
La entidad no cuenta con un proceso para de Establecer cuenta antes el proceso de gestin de
gestin de incidentes de seguridad de la incidentes de seguridad para contar un enfoque
informacin. coherente y eficaz para la debida gestin de los
PA2
incidentes de seguridad y proveer a la entidad de un
A.16 GESTIN mecanismo para el reporte, evaluacin y respuesta a
INCIDENTES DE los incidentes de seguridad de la informacin
14%
SEGURIDAD DE LA Los encargados de la seguridad de la Los encargado de la seguridad de la informacin
INFORMACIN informacin no mantienen un contacto con deben participar en eventos, foros, asociaciones y
grupos de inters especializados en seguridad otros organizamos relacionados con seguridad de la
PA3
de la informacin informacin, para conocer las tendencias del mercado
y las nuevas amenazas que surgen y que atentan
contra la seguridad de la informacin
A.6 ORGANIZACIN La entidad no tiene definidos todos los roles y Este es un entregable del proyecto. Se requiere que el
DE SEGURIDAD DE LA 24% responsabilidades de la seguridad de la PA4 respectivo documento sea aprobado por la Alta
INFORMACION informacin. Direccin.
No cumple el control A.18.1.5 Reglamentacin Implementar mecanismo de cifrado. (Asociado al PA1)
A.18 CUMPLIMIENTO 30%
de controles criptogrficos
Las polticas relacionadas con seguridad de la Elaborar unas polticas de seguridad aprobadas por la
A.5 POLITICAS DE LA informacin estn definidas en el Manual de Alta Direccin para garantizar su debida
SEGURIDAD DE LA 33% Polticas de Seguridad Informtica del proceso PA5 implementacin, actualizacin y cumplimiento.
INFORMACION de tecnologa, manual no est aprobado ni es
revisado por la Alta Direccin
133
No se incluyen los requisitos relacionados con Es indispensable implementar controles adecuados y
seguridad de la informacin en las ciclo de vida efectivos, o fortalecer los existentes, con el objetivo de
de desarrollo. (control A.14.1.1 del Anexo A de la asegurar que la seguridad de la informacin sea parte
norma ISO/IEC 27001:2013) del ciclo de vida del desarrollo de aplicaciones de la
No siempre se realizan las verificaciones entidad y con ello garantizar que los cambios que se
A.14 ADQUISICIN, tcnicas a las aplicaciones crticas del negocio realizan en produccin no afecten la seguridad de la
DESARROLLO Y cuando se realizan cambios en produccin, informacin, para lo cual, se debe crear un documento
37% PA6
MANTENIMIENTO DEL situacin que no garantiza la normal operacin, que contengan las mejorar practicas para el desarrollo
SISTEMA disponibilidad y seguridad de los servicios de TI de software seguro.
una vez realizado los cambios.
No existe con un procedimiento adecuado de
control de versionamiento del software
Durante el desarrollo de las aplicaciones no se
incluyen pruebas de seguridad
La entidad no tiene identificados todos los En el proyecto se identifico los activos de informacin
activos de informacin a travs de los cuales se PA7 de acuerdo al alcance de SGSI.
gestiona la informacin del negocio
A.8 GESTION DE
43% La entidad no tiene establecidos los lineamientos Se requiere definir la respectiva poltica (Asociada al
ACTIVOS
para el uso aceptable de los activos de PA5)
informacin asociados con la informacin e
instalaciones de procesamiento de informacin
No se cuenta con un mecanismo que permite La Vicepresidencia de Riesgo debe capacitar a los
garantizar que los colaboradores o terceras, colaboradores de la entidad para que conozcan las
estn debidamente informados sobre las PA8 Polticas de Seguridad de la Informacin y las adopten
A.7 SEGURIDAD DE funciones y las responsabilidades respecto a la en sus actividades diarias.
LOS RECURSOS 47% seguridad de la informacin
HUMANOS La entidad no cuenta con un plan anual de El rea de gestiona humana realizar un plan de
capacitacin y formacin en seguridad de la capacitacin en temas de seguridad de la informacin.
informacin para sus empleados, lo que genera (Asociado al PA8)
en algunos casos la poca efectividad de los
134
controles implementados.
Dentro del plan de continuidad del negocio de la Documentar, implementar y mantener los
A.17 CONTINUIDAD entidad no se tiene contemplados los requisitos procedimientos y controles necesarios para asegurar
DE LA SEGURIDAD DE 58% para garantizar la seguridad de la informacin PA9 el nivel de continuidad requerido con el objetivo de
LA INFORMACION garantizar la seguridad de la informacin en
situaciones adversas.
La identificacin del equipo no hace parte del PA10 La Direccin de Tecnolgica deber verificar la
esquema de autenticacin de los usuarios al viabilidad de implementar este control
directorio activo.
La entidad no cuenta con un procedimiento PA11 La Direccin de Tecnologa deber crear el respectivo
A.9 CONTROL DE formal para la asignacin, control y restriccin de procedimiento
61%
ACCESO derechos de acceso y privilegios sobre sus
recursos tecnolgicos y aplicaciones.
No se cuenta con un procedimiento para la PA12 La Direccin de Tecnologa deber crear el respectivo
gestin de contraseas en los sistemas base de procedimiento
la entidad.
No se cuenta con mecanismo adecuados para Garantizar la debida proteccin y cifrado de la
A.13 SEGURIDAD DE
proteger la informacin confidencial que se informacin incluida en la mensajera electrnica
LAS 75%
enva por correo electrnico (control A.13.2.3 (Asociado al PA1)
COMUNICACIONES
Anexo A de la norma ISO/IEC 27001:2013)
No se cuenta con los procedimientos para Establecer el respectivo procedimiento
trabajo en reas seguras (control A.11.1.5 del PA13
Anexo A de la ISO/IEC 27001:2013)
A.11 SEGURIDAD No se cuenta con un mecanismo efectivo de Implementar una solucin de NAC (Control de acceso
FISICA Y DEL 76% seguridad que permita validar que los equipos de la Red)
PA14
ENTORNO que se conecta a la red interna de la entidad sea
una estacin de trabajo segura y valida
No se cuenta con una poltica de escritorio limpio Se requiere definir y establecer la respectiva poltica
(Asociado al PA5)
135
El resultado del diagnostico indico que el nivel de cumplimiento o desarrollo de la
entidad frente al Anexo A de la norma ISO/IEC 27001:2013 es del 46.09%, debi a
que no cuenta con algunos controles, o los existentes no son adecuados o no
estn documentos y que por la tanto requieren su revisin en un medio plazo para
mejorar su efectividad y su cumplimiento. Esta situacin representa un riesgo
Medio para la entidad debido a la ausencia de controles o la presencia de algunos
con debilidades, la cual, puede ser aprovechado por amenazas internas o
externas para atentar contra la seguridad de la informacin de la entidad.
Los planes de accin que se definieron para cerrar las brechas encontradas estn
sujetos a la viabilidad de su implementacin por parte de la entidad, debido a que
algunos de ellos requieren la adquisicin de herramientas y/o soluciones
tecnolgicas que implica que la entidad deba adelantar procesos de contratacin
para su adquisicin. Algunas de las soluciones tecnolgicas que se requieren,
pueden llegar a tener un costo elevado y/o su implementacin puede demandar un
tiempo considerable. Dentro de estas soluciones se destacan:
Portal de intercambio seguro para garantizar el cifrado de la informacin que se

intercambio con tercero. (Plan de accin PA1)
Mecanismos para cifrar la informacin confidencial de la entidad que se enva
por correo electrnico. (Plan de accin PA1)
Solucin NAC para garantizar el debido control de acceso de los equipos y
dispositivos que se conectan a la red de la entidad (Plan de accin PA14)
Este diagnostico y los planes de accin que se establecieron, que hacen parte de
los entregables del proyecto, permitieron dar alcanzar el objetivo especfico OE3.
6.2. RESULTADOS FASE II PREPARACION

OE4. Establecer la estructura organizacional, roles y responsabilidades en cuanto

a la Seguridad de la Informacin.
OE6. Definir la poltica, alcance y objetivos del Sistema de Gestin de Seguridad
de la informacin.
136
OE4. Establecer la estructura organizacional, roles y responsabilidades en
cuanto a la Seguridad de la Informacin.
Para establecer la estructura organizacional, roles y responsabilidades pertinentes

a la seguridad de la informacin, como primera medida se identificaron las reas
dentro de la entidad cuyas funciones estn relacionadas con la seguridad de la
informacin, para lo cual se tuvo en cuenta los siguientes aspectos:
Responsables de la seguridad de la informacin y seguridad informtica

Responsable de la seguridad fsica
Responsable de la seguridad de los recursos humanos, antes, durante y
despus del contrato.
Responsable del cumplimiento de la normatividad vigente
Responsables y encargado del tratamiento de los datos personales.
Para el anlisis de esta informacin se utilizaron los siguientes instrumentos de

recoleccin de informacin:
El organigrama de la entidad.
La caracterizacin de los procesos documentada en el sistema de gestin de
calidad de la entidad.
Las funciones especficas de los colaboradores de la Vicepresidencia de
Riesgos que fueron proporcionas por la Direccin de Gestin Humana.
Las funciones del Comit de Riesgos que estan documentadas en el proceso
de riesgo.
El organigrama de la entidad es el nico que se incluye en el presente trabajo

debido a que esta publicado en la pgina web de la entidad. Los otros documentos
no se relacionan ya que corresponde a documentos de uso interno de la entidad.
Para determinar los roles y responsabilidades en torno a la seguridad de la

informacin, tambin se consulto la Ley 1581 del 201271, que establece que las
entidades deben definir los responsables y encargados del tratamiento de los
datos personales de los titulares.
Durante el proceso de recoleccin de la informacin no se presento

inconvenientes debido al acceso que tena el autor sobre estos documentos, por el
71
Ley Estatutaria 1581 de 2012 Por la cual se dictan disposiciones generales para la proteccin
de datos personales
137
contrario, la revisin y anlisis de la informacin demando ms tiempo del
presupuestado debido a que los documento publicados en el Sistema de Gestin
de la entidad no se podan exportar, copiar o descargar a otros formatos por
poltica de seguridad de la entidad. Resultado de la revisin y anlisis de la
documentacin recolectada, se evidencio, que las funciones del oficial de
seguridad no estaban debidamente formalizadas y las funciones de comit de
riegos no incluan las relacionadas con seguridad de la informacin.
Con base en el anlisis realizado, se esquematizo un organigrama de la seguridad

de la informacin que est representado en el Figura 11 del presente documento,
el cual, contiene el comit y las reas ms representativas en torno a la seguridad
de la informacin dentro de la entidad.
El entregable de esta actividad que corresponde al Anexo D y las

responsabilidades y autoridades para los roles pertinentes a la seguridad de la
informacin que se definieron en el Manual de Polticas de Seguridad de la
Informacin (ver Anexo F), permiten dar alcance al objetivo especfico OE4.

Para el anlisis de las partes interesadas de la organizacin se tomo como base el

documento de Codigo de Buen Gobierno de la entidad72, donde estn descritos los
grupos de inters externos que corresponden a las personas naturales o jurdicas
con la cuales la entidad interacta en el ejercicio de sus funciones. Para
determinar los grupos de inters internos de la entidad, se tomo como base la
organizacin de la seguridad que se defini en el Manual de Polticas de
Seguridad de la Informacin (ver Anexo F) del presente trabajo.
Para estos grupos de inters se evalu el grado de inters, motivacin y

gobernabilidad en funcin de su responsabilidad y capacidad de influir de manera
positiva o negativa en la seguridad de la informacin de la entidad.
Resultado de esta evaluacin se estableci de que en trminos generales, existe

un alto grado de inters de la mayora de las partes interesas hacia la seguridad
de la informacin de la entidad:
72
Codigo de Buen Gobierno que esta publicado en el pgina web de la entidad,
138
Figura 24. Grado de Inters Partes Interesadas
Fuente: El Autor
Las partes interesadas que tienen un inters medio (18%) en la seguridad de la

informacin corresponden a los colaboradores y terceros que prestan sus servicios
a la entidad, debido a que ven la seguridad de la informacin como un conjunto de
restricciones que las complican su normal trabajo.
Las partes interesadas que tiene un inters alto (82%) corresponden aquellos que
estn interesadas de forma directa o indirecta en que la entidad tenga un
adecuado sistema de gestin de seguridad para as proteger la informacin del
negocio y de sus clientes. En este grupo estas las siguientes partes interesadas:
El Gobierno, entes de control y la Superintendencia Financiera de Colombia,

interesados en que la entidad cumpla con la normatividad relaciona con la
proteccin, privacidad y seguridad de la informacin.
La Alta Directiva de la entidad al establecer la poltica del SGSI demuestra
liderazgo y compromiso con la Seguridad de la Informacin.
El Comit de Riesgos, la Vicepresidencia de Riesgos y el oficial de seguridad
interesados en implementar un adecuado SGSI.
Las reas como tecnologa y recursos fsicos, interesadas en implementar
medidas y controles que garantice la seguridad de la informacin de la entidad.
Los ex empleados interesados en que la entidad les garantice la proteccin de
sus datos financieros y la privacidad de sus datos personales.
Los intermediarios, bancos multilaterales e inversionistas, interesadas en que
la entidad les brinde las garantas de proteccin de las operaciones que
realizan con ella y de la informacin que intercambian.
139
El grado motivacin hacia la seguridad de la informacin de la entidad por las
partes interesas se ve reflejado en la siguiente grafica:
Figura 25. Grado de motivacin partes interesadas

Fuente: El autor
El 70% de las partes interesadas tienen un grado alto de motivacin hacia la

seguridad de la informacin, lo cual se ve reflejado en la responsabilidad que
tienen en garantizar la seguridad de la entidad. En este grupo estn: Alta
Direccin, Comit de Riesgos, Vicepresidencia de Crdito y Riesgos, Oficial de
Seguridad, Direccin de Tecnologa, Jefatura de Recursos Fsicos y el Gobierno.
Por ltimo, el grado de gobernabilidad est relacionado con al nivel de decisin

de la parte interesada hacia la seguridad de la informacin de la entidad:
Figura 26. Grado de gobernabilidad partes interesadas

Fuente: El autor
140
El 37% de las partes interesadas tiene un alto grado de gobernabilidad sobre la
seguridad de la informacin y corresponde a las partes que deciden las directrices
de la seguridad a nivel estratgico o son los responsables de asegurar la
implementacin, operacin y mejora continua del SGSI, en este grupo estn: Alta
Direccin, Comit de Riesgos, Vicepresidencia de Riesgos y Oficial de Seguridad.
El 36% de las partes interesadas tienen un grado medio de gobernabilidad sobre

la seguridad de la informacin, en el cual, entres otros se encuentran las reas
que deben implementar y aseguras las medidas lgicos y fsicas de seguridad,
por ejemplo: Direccin de Tecnologa y Jefatura de Recursos Fsicos.
El 27% de las partes interesadas tienen un grado bajo de gobernabilidad sobre la

seguridad de la informacin y corresponden a las partes que no tiene poder de
decisin sobre la seguridad de la informacin de la entidad y no implementan
medidas de seguridad, como son, colaboradores, proveedores, intermediarios
financieros, bancos multilaterales y de desarrollo, y ex empleados.
El anlisis realizado de las necesidades y requerimientos de las partes interesas

de la entidad en funcin a la seguridad de la Informacin la entidad, permite el
logro del objetivo especfico OE5 que se planteo para el proyecto.
OE6. Definir la poltica, alcance y objetivos del Sistema de Gestin de

Seguridad de la informacin.
La poltica, alcance y objetivos del Sistema de Gestin de Seguridad de la
Informacin estn definidos en el Anexo C que hace parte de los entregables del
presente trabajo de grado.
Para la definicin del alcance del Sistema de Gestin de Seguridad de la

Informacin se tuvo en cuenta dos aspectos, el primero que corresponde a los
requerimientos que establece la norma ISO\IEC 27001:2013 en su numeral 4.3
Determinacin del Alcance del Sistema de Gestin de Seguridad de la
Informacin73, y el segundo que corresponde al alcance que se defino en el
presente trabajo de grado en el capitulo 1.3.1. ALCANCE.
73
141
Para la definicin de los objetivo del Sistema de Gestin de Seguridad de la
Informacin se tuvo en cuenta el numeral 6.2 Objetivos de seguridad de la
informacin y planes para lograrlos74 de la norma ISO\IEC 27001:2013.
La Poltica del Sistema de Gestin de Seguridad de la Informacin se defini

teniendo en cuenta los requerimientos establecidos en el numeral 5.2 Poltica75
de la norma ISO\IEC 27001:2013 y los objetivo definidos de seguridad de la
informacin que estn definidos en Anexo C del presente trabajo.
Por lo tanto, las actividades desarrolladas para definir la poltica, alcance y

objetivos del Sistema de Gestin de Seguridad de la informacin, permiten del
alcance el objetivo especfico OE6 definido en el presente proyecto de grado.
6.3. RESULTADOS FASE III PLANIFICACION

OE7. Definir la metodologa para la identificacin y clasificacin de activos de

informacin y para la valoracin y tratamiento de riesgos de Seguridad de la
Informacin.
OE8. Clasificar los activos de informacin del proceso de Gestin de Tecnologa
de la entidad, valorar sus riesgos de seguridad y definir los planes de
tratamiento de los riegos encontrados, de acuerdo a la metodologa
definida.
OE9. Definir las polticas de la Seguridad de la Informacin de la entidad tomando
como base la norma ISO 27001:2013.
OE7. Definir la metodologa para la identificacin y clasificacin de activos

de informacin y para la valoracin y tratamiento de riesgos de Seguridad.
La metodologa para la identificacin y clasificacin de activos de informacin y

para la valoracin y tratamiento de riesgos de Seguridad de la Informacin est
definida en el Anexo D del presente trabajo de grado. Esta metodologa establece
los elementos y lineamientos para la valoracin y el tratamiento de los Riesgos de
Seguridad de la Informacin de la Entidad, para lo cual, se tuvo en cuenta los
74
75
142
requerimientos establecidos en los numerales 6.1.2 Valoracin de riesgos de la
seguridad de la informacin76 y 6.1.3 Tratamiento de riesgos de la seguridad de la
informacin77 de la norma ISO\IEC 27001:2013.
Aunque la norma ISO/IEC 27001:2013, plantea un enfoque ms amplio para la

valoracin de los riesgos, ya que no limita la identificacin de los riesgos a partir
de la identificacin de los activos, amenazas y vulnerabilidades, el autor considera
que para valorar riesgos de tecnologa, si es necesario realizar el proceso
ineludible y desgastados de clasificar los activos de informacin con el propsito
de poder determinar su criticidad y nivel de proteccin, y as poder identificar los
riesgos de seguridad asociados y de esta forma realizar un anlisis para
determinar los mecanismos ms convenientes para protegerlos. Por lo tanto, en la
metodologa que se desarrollo se incluye la identificacin y clasificacin de los
activos de informacin como elemento necesario para la valoracin de los riesgos
de tecnologa.
La metodologa desarrollada incluye los siguientes aspectos:
Tabla 41. Estructura metodologa valoracin de activos y riesgos

Identificar los activos de informacin
Determinar el tipo de activo
Identificar los dueos de los riesgos
IDENTIFICAR Y Identificar el responsable del activo
VALORAR ACTIVOS Identificar el contenedor del activo
DE INFORMACION Valorar los activos
Determinar el valor de criticidad del activo
Establecer el nivel de criticidad del activo
Determinar los activos para la valoracin de riegos
Identificar de amenazas y vulnerabilidades
Analizar el riesgo inherente
IDENTIFICAR Y
Mapa de calor
VALORAR ACTIVOS
Elaborar Matriz de Riesgo Inherente
DE INFORMACION
Evaluar controles existentes para mitigar los riesgos
VALORACION DE
Determinar Riesgo Residual
RIESGOS
Elaborar Matriz de Riesgo Residual
Establecer opciones y/o planes de tratamiento de riesgos
Por lo tanto, el documento relacionado con el Anexo D que hace parte de los
entregables del proyecto, permite dar alcance al objetivo especfico OE7.
76
77
143
OE8. Clasificar los activos de informacin del proceso de Gestin de
Tecnologa, valorar sus riesgos y definir los planes de tratamiento.
Las actividades relacionadas con la clasificacin de los activos de informacin y la

valoracin de riesgos, se desarrollaron de acuerdo a los siguientes aspectos:
La identificacin de los activos de informacin se realizo de acuerdo al alcance

que se defini para el Sistema de Gestin de Seguridad de la Informacin de la
entidad, el cual solo contempla el proceso de tecnologa para la sede principal
de la entidad ubicada en la ciudad de Bogot.
Para el desarrollo de las actividades relacionas con la identificacin y
clasificaciones de los activos de informacin del proceso de tecnologa y la
respectiva valoracin y tratamiento de los riesgos, se utilizo la metodologa de
riesgos que est relacionada en el Anexo D del presente trabajo de grado.
Por requerimiento de confidencialidad de la empresa, para el presente trabajo
en algunos casos no se relaciono el nombre especfico de las aplicaciones,
servidores y servicios de TI, sino se utilizo su finalidad para tal efecto.
Para la identificacin y clasificacin de los activos de informacin, se utilizo la hoja

de Excel del Anexo E del presente trabajo, la cual adems de contener el
inventario y calificacin de los activos de informacin del proceso de tecnologa,
tambin contiene los parmetros, las formulaciones y los clculos que se utilizaron
para determinar el nivel de criticidad de los activos.
Este proceso fue muy dispendioso debido a los siguientes factores:
El rea de tecnologa no contaba con un inventario actualizado de sus activos

de informacin, lo que significo que se tuvieran que realizar varias reuniones
con los funcionarios de tecnologa para recopilar esta informacin.
Lo disponibilidad de tiempo por parte de los funcionarios del rea de tecnologa
debido a sus mltiples actividades y compromisos, que genero que este
proceso se demorara ms tiempo del presupuestado.
Para clasificar los activos de informacin se utilizo el tipo de clasificacin que se

encuentra en la Tabla 15. Tipos de activos de informacin del presente trabajo.
Como resultado de este proceso se identificaron 57 de activos de informacin que
fueron clasificados de acuerdo al tipo de activo, de la siguiente forma:
144
Tabla 42. Nmero de activos identificados por tipo de activo
Tipo de activo No
Datos / Informacin 9
Equipos informticos 14
Instalaciones 4
Redes de comunicaciones 4
Servicios 6
Software 20
Total 57
La siguiente es la distribucin de los activos de informacin por tipo de activo:
Figura 27. Clasificacin activos de informacin de tecnologa

Fuente: El autor
Los numero mostrados en este grafica, no representa el total de activos de la

Direccin de Tecnologa, debido a que por razones de confidencialidad de la
entidad, para efectos del presente trabajo de grado algunos de los activos
identificados no fueron incluidos o algunos con caractersticas similares fueron
relacionados como un solo activo, pero esta ltima grfica si muestra una
tendencia de distribucin por tipo de activos muy aproximacin a la realidad.
Los activos tipo de Software representan el 35% de los activos de informacin

del proceso de tecnologa, los cuales incluyen, el software base de
administracin y de monitoreo y los sistemas de informacin de la entidad.
El grupo de Datos/Informacin que corresponde al 16% de los activos, incluye
los activos relaciona con la identidad de los usuarios, los logs de eventos de
errores, disponibilidad y seguridad, los documentos y manuales del proceso.
145
En el grupo de Servicios que corresponde al 10% de los activos de
informacin, estn los servicios de directorio activo, correo, base de datos,
fileserver, videoconferencia y gestin de privilegios.
El grupo de Equipos Informticos que equivale al 25% de los activos incluye,
servidores de administracin, bases de datos y aplicaciones de produccin,
pruebas y desarrollo, plataforma de correo, sistema de almacenamiento,
computadores, equipos de seguridad perimetral, etc.
El grupo de instalaciones que equivale al 7% de los activos incluye, centros de
cmputo, cuartos de rack y rea de administracin de plataforma.
El grupo de redes, que equivale al 7% corresponde a la red WAN y LAN
Una vez identificados los activos de informacin se procedi a valorar su grado de

importacin y criticidad para la organizacin, para lo cual, se valoro la afectacin o
perdida que le puede generar a la entidad en cuanto a aspectos financieros,
legales y de imagen, en caso de verse afectada su seguridad.
Resultado de esta valoracin, la siguiente es la clasificacin de los activos de

acuerdo a su grado de importancia y criticidad:
Figura 28. Clasificacin activos de tecnologa por criticidad

Fuente: El Autor
El 46% de los activos de informacin de tecnologa estn clasificados como de

criticidad Alta, los cuales corresponde a los activos cuya seguridad al ser
vulnerada pueden poner en riesgo la informacin confidencial de la entidad,
afectar la operacin normal de las reas crticas o la continuidad del negocio.
En este grupo estn activos como: centros de computo, equipos de seguridad
146
perimetral, red LAN y WAN, servidores de administracin, bases de datos y
aplicaciones de produccin, bases de datos, unidades de almacenamiento,
aplicativos CORE del negocio, directorio activo, datos de autenticacin de los
usuarios, riesgos de eventos de seguridad, entre otros.
Los activos de criticidad Media que equivalen al 26% de los activos,
corresponden a aquellos activos que soportan aplicaciones o servicios de
produccin que en caso de contingencia no se requieren para soportar los
proceso crticos, aunque la seguridad de estos activos al ser vulnerada, puede
poner en riesgo la informacin confidencial de la entidad. Dentro de estos
activos estas: aplicaciones web, servicio de correo, solucin de Backup,
terminales empresariales, computadores de escritorio y porttiles de los
usuarios, red WIFI de invitados, sistema de control de acceso, entre otros.
Los activos de criticidad Baja que corresponde al 28% de los activos que, y son
aquellos servicios de TI que no se requieren para soportar la contingencia de
los procesos crticos pero cuya seguridad al ser vulnerada puede afectar en un
grado bajo la confidencial del negocio. En este grupos estn: aplicativo de
mesa de ayuda, aplicativos no transacciones, intranet, video conferencia,
impresoras, servidores de pruebas y desarrollo, entre otros.
Despus de hacer clasificado los activos de informacin por su criticidad, se

seleccionaron aquellos activos para el respectivo anlisis de riesgos, para lo cual
se tuvo en cuenta las recomendaciones dadas en la metodologa de riesgos del
Anexo D del presente trabajo, en el captulo 3.9. Determinar los activos para la
valoracin de riegos78. Por lo tanto, se opto por seleccionar los activos de
informacin con nivel de criticidad Alto y Medio y agruparlos en la medida de lo
posible por contenedor. Aquellos contenedores que incluyeran ms de un activo
de informacin se utilizaron para la valoracin de riesgos en vez de hacerlo sobre
los respectivos activos de manera individual, ya que de acuerdo a la metodologa,
si se protegen los contenedores tambin se protegen sus activos de informacin.
De acuerdo a lo anterior, se seleccionan 41 de los 57 activos de informacin

identificados, los cuales estn relacionados en la Tabla 21. Activos seleccionados
para valoracin de riesgos del presente trabajo.
78
Anexo D, Capitulo 3.9 Determinar los activos para la valoracin de riesgos, Pg. 14
147
Una vez seleccionados los activos de informacin para la valorar los riesgos, se
procedi a identificar las amenazas asociadas a estos, para lo cual y con el
objetivo de facilitar esta labor, se utilizo la lista de riesgos relacionada en Tabla
22. Lista de riesgos y principios de seguridad afectados del presente trabajo, la
contiene los riesgos que pueden afectar a cualquier tipo de organizacin y los
principios de seguridad de la informacin que se afectan, relacionados con la
confidencialidad, integridad y disponibilidad. Esta lista fue compartida a los
funcionarios de la Direccin de Tecnologa, quienes a partir de ella identificaron las
amenazas a las cuales estn expuestos los activos de informacin seleccionados.
La siguiente grafica, muestra las amenazas identificadas y el nmero de los

activos de informacin seleccionados que pueden ser afectados por estas:
Figura 29. Cantidad de activos afectos por las amenazas

Fuente: El autor
La grafica anterior muestra una visin inicial de las amenazas internas o externas
que pueden afectar la seguridad de la informacin de la entidad. En la misma, se
puede observa que amenazas como acceso no autorizado y los errores del
administrador, pueden poner en riesgos cada una de ellas, 33 de los 41 activos
seleccionados, lo que equivale al 80% del total de estos activos. El inadecuado
uso de sistema para generar interrupciones, que es otra amenaza, puede afectar
32 activos que equivalen al 78% del total de los seleccionados. Amenazas como
abuso de privilegios y ataques externos o internos, pueden poder en riesgos de
manera individual 26 activos que significan el 63% de los activos seleccionados.
148
Pas seguido, con el rea de tecnologa se procedi a identificar las posibles
vulnerabilidades de los activos de informacin que pueden ser aprovechas por las
amenazas identificadas, para lo cual, se estableci como regla que no se debera
tener en cuenta los controles o medidas de seguridad existentes que protegen la
infraestructura tecnolgica de la entidad. Esta labor no fue nada sencilla, debido a
que los administradores de las plataformas fueron muy reservados en indicar las
debilidades de ciertos componentes tecnolgicos, lo cual, es entendible en la
medida que esta informacin puede poner en riesgos la seguridad de la entidad.
Resultado de esta labor se identificaron las siguientes vulnerabilidades y el

nmero de amenazas que pueden explotarlas:
Figura 30. Vulnerabilidades y No. de Amenazas que pueden explotarlas

Fuente: El autor
149
Una de las vulnerabilidades que puede ser aprovecha por 12 de las amenazas
identificadas, corresponde a la ausencia, no aplicacin o aplicacin no adecuada
de las polticas de seguridad de la informacin, por lo tanto, es esencial que las
polticas definidas en el Manual de Polticas de Seguridad de la informacin (ver
Anexo F) del presenta trabajo, sean aprobadas, publicadas e implementadas.
La inadecuada administracin de roles y permisos que puede ser aprovechada por

9 de las amenazas identificadas, es una de las debilidades que generalmente se
presente porque las organizaciones no cuentan con un esquema centralizado para
la gestin de la identidad de los usuarios y el manejo de los roles y permisos que
se les deben otorgar sobre los recursos tecnolgicos y sistemas de informacin.
Tambin aparecen debilidades como, contraseas no seguro, cuentas de usuario

sin auditar y la inexistencia de logs de eventos de seguridad, que ponen en
riesgos la confidencialidad, autentificad y trazabilidad de la identidad de los
usuarios y la privacidad de los datos de autenticacin (usuarios y contraseas)
que ellos utilizan parar acceder a los recursos tecnolgicos de la entidad.
La siguiente grfica corresponde al nmero de vulnerabilidades que puede ser

explotada por cada una de las amenazas identificadas:
Figura 31. Nmero de vulnerabilidades que puede exportar una amenaza

Fuente: El autor
La anterior muestra un panorama inicial del nivel de exposicin que pueden llegar
a tener los activos de informacin del proceso de tecnologa frente a las amenazas
identificadas, el cual, no contempla la valoracin de la probabilidad de ocurrencia e
150
impacto de los riesgos, que es fundamental para establecer el estado real de
exposicin de los activos de informacin.
Una vez identificadas las amenazas y vulnerabilidades se estableci al nivel de

riesgo inherente, el cual, corresponde al nivel riesgo propio de acuerdo a la
naturaleza y propsito de los activos de informacin sin tener en cuenta las
medidas y controles de seguridad que existen para protegerlos.
Con el fin de facilitar el proceso de valoracin y tratamiento de los riesgos, as

como la elaboracin de los respectivos mapas de riesgo inherente y residual, se
codificaron los riesgos identificados de la siguiente forma:
Tabla 43. Codificacin de riesgos del proceso de tecnologa

R1 Acceso no autorizado
R2 Ataques externos / internos (hacking no tico)
R3 Cambio de privilegios sin autorizacin
R4 Desastres naturales (Terremotos, Incendios, Inundaciones, etc.)
R5 Divulgacin de informacin de autenticacin
R6 Error del administrador
R7 Instalacin de software no autorizado
R8 Interceptacin no autorizada de informacin en trnsito
R9 Interrupcin en los servicios
R10 Modificacin sin autorizacin
R11 Robo de equipos
R12 Robo de informacin
R13 Suplantacin de identidad de usuarios
R14 Uso inadecuado de sistemas para generar fraudes
R15 Uso inadecuado de sistemas que generan interrupcin
R16 Abuso de privilegios
Para determinar el riesgo inherente se valoro la probabilidad de ocurrencia de los

riesgos identificados as como el impacto de los mismos en caso de su
materializacin, para lo cual, se tuvo en cuenta los pasos planteados en el capitulo
5.3.2.2 Anlisis Riesgo inherente de la metodologa referenciada en el Anexo D
del presente trabajo. La probabilidad de ocurrencia del riesgo se determino a partir
de nmero de veces que este puede llegar a presentarse en un periodo de un ao,
y el impacto se determino teniendo la afectacin que puede generar la perdida de
la confidencialidad, integridad y disponibilidad del activo de informacin en caso de
la materializacin del riesgo. Para calcular el valor de la probabilidad y del impacto
151
de los riesgos identificados, as como el valor del riesgo inherente, se utilizaron los
criterios de valoracin establecidos en las tablas, Tabla 5. Valoracin probabilidad
de ocurrencia, Tabla 6. Valoracin del impacto y Tabla 7. Valoracin de los
riesgos79, de la metodologa de riesgos del Anexo D del presente trabajo. Con el
objetivo de facilitar estos clculos, se utilizo la hoja de Excel relacionada en el
Anexo E del presente trabajo de grado, la cual, fue diligenciada conjuntamente con
los coordinadores de las diferentes reas de la Direccin de Tecnologa, como
son, plataforma, desarrollo, mesa de ayuda, entre otras.
Resultado de valorar la probabilidad de ocurrencia y el impacto de las amenazas

identificadas, se obtuvo el valor del riesgo inherente de acuerdo a los datos y
valores relacionados en las Tabla 28. Valoracin de riesgos inherente Direccin
de Tecnologa y Tabla 29. Riesgos inherentes de Tecnologa por tipo de riesgo
del presente trabajo de grado.
La siguiente es la distribucin del riesgo inherente del proceso de gestin de

tecnologa:
Figura 32. Distribucin Riesgos Inherente proceso de tecnologa

Fuente: El Autor
Para establecer el mapa de riesgos inherente se utilizo como referencia el mapa

de calor que aparece en el captulo 5.3.2.3 MAPA DE CALOR del presente
trabajo, el cual, corresponde a una representacin grfica de una matriz de 5x5,
donde se ubicacin los riesgos de acuerdo al valor de la probabilidad (eje x) y al
valor del impacto (eje y). Cada zona dentro del mapa de calor corresponde a un
79
Anexo D, Metodologa de valoracin de riesgos de seguridad de la informacin, Pg. 16, 17 y 18
152
tipo de riesgo e indica las acciones de tratamiento del riesgo a seguir. El siguiente
es el mapa de riesgos inherente del proceso de tecnologa:
Dentro de los riesgos clasificados como riesgo extremo, se encuentra el riesgo

R16. Abuso de privilegios, el cual representa uno de los mayores riesgos que
atentan contra la seguridad de las organizaciones de acuerdo a estudios
realizados. La empresa Oracle en su informe DBA Security Superhero: 2014
IOUG Enterprise Data Security Survey, indica que el 54% de los encuestados ven
el abuso de los privilegios de acceso como uno de los mayores riesgos para los
datos de las empresas80. La empresa Raytheon Company, en su informe
Privileged User Abuse & The Insider Threat publicado en mayo de 2014, indica
que las personas con acceso a los datos privilegiados, frecuentemente ponen en
riesgos la informacin sensible de la organizacin81. El abuso de privilegios es un
riesgo que por su naturaleza y los efectos que conlleva, genera la posibilidad de la
materializacin de otros riesgos, como son, el cambio de privilegios sin
autorizacin, accesos no autorizados, perdida o robo de informacin y uso
inadecuado de sistemas para generar fraudes o interrupcin en los servicios.
El mapa de riesgo inherente del proceso de tecnologa, permite identificar que el

50% de los riesgos se clasifican como riesgos medios, lo que implica la
80
https://www.oracle.com/es/corporate/pressrelease/2-19189.html
81
http://raytheon.mediaroom.com/index.php?s=43&item=2570
153
identificacin de controles orientados a reducir el riesgo a niveles ms bajos. El
25% de los riesgos estn clasificados como extremos, lo que significa que los
controles deben que permitan reducir y compartir el riesgo, transferirlo o incluso
evitarlo. El 19% corresponde a riesgos altos, que requiere de controles adecuados
que permitan disminuir el riesgo a nivel bajo o inusual.
Una vez generada la matriz de riesgo inherente se procedi a valorar la efectividad

de los controles existentes para determinar el nivel de desplazamiento que estos
pueden genera sobre el mapa de calor para los respectivos riesgos, para lo cual,
se utilizo como instrumento de recoleccin de informacin el cuestionario que est
relacionado en el Tabla 30. Criterios para evaluar la efectividad del control, del
presente documento, la cual, contiene una serie de pregunta orientadas a valorar
la efectividad del control. Este cuestionario que esta formulado en la hoja de Excel
relacionada en el Anexo E del presente trabajo, fue diligenciado por los
funcionarios del rea de tecnologa quienes determinaron los controles existentes
y respondieron las preguntas para valorar su efectividad.
Con base en la informacin proporcionada por tecnologa, se identificaron el

nmero de riesgos que puede mitigar cada uno de los controles, lo cual,
incialmente indicara el nivel de efectividad del control. La siguiente grafica
muestra esta situacion:
Figura 33. Numero de riesgos que mitiga los control identificados

Fuente: El Autor
154
La siguente es la relacion de las cantidad de controles que se indentificaron para
cada uno de los riesgos evaluados:
Figura 34. Cantidad de controles identificados por riesgo
En esta grfica se puede observar que para cada riesgo por lo menos se identifico
un control que puede generar el desplazamiento del riesgo a una zona menor en
el mapa de calor, lo cual, es algo positivo ya que ayuda a mitigar el nivel de riesgo
inherente del proceso de tecnologa.
Tambin se puede identificar que para los riesgos R1 - Acceso no autorizado y

R16 - Abuso de privilegios que estn en la zona extrema del mapa de calor, se
identificaron por lo menos tres controles que ayudan de manera significativa a
disminuir su nivel de riesgo inherente.
Con el objetivo de generar la matriz de riesgo residual del proceso de tecnologa,

se aplico en el mapa de calor la disminucin que se genero en la probabilidad y/o
impacto del riesgo al evaluar la efectividad de los respectivos controles. La
informacin correspondiente a la valoracin de los controles que se identificaron
para mitigar los riesgos se encuentra en la Tabla 33. Determinacin Nivel de
Desplazamiento del presente documento, la cual contiene los puntajes obtenidos
por cada uno de los controles de acuerdo a su efectividad y el nivel de
desplazamiento que genero en la probabilidad y/o en el impacto.
155
Las siguientes graficas muestras la disminucin en el nivel de los riesgos que
genero los respectivos controles identificados:
Figura 35. Disminucin nivel de riesgo por efectividad del control (1)
Figura 36. Disminucin nivel de riesgo por efectividad del control (2)
156
De acuerdo a estas grficas los controles identificados en trminos generales
fueron efectivos ya que permitieron reducir los respectivos riesgos a niveles ms
bajos, logrando con esto una disminucin significativa en el nivel del riesgo
inherente del proceso de tecnologa.
La siguiente tabla muestra el porcentaje de disminucin que gnero los controles

identificados para mitigar cada uno de los riesgos:
Tabla 44. Disminucin nivel riesgos por controles valorados

Riesgo Inherente Riesgo Residual
Probabilidad
Probabilidad
Impacto
Impacto
%
RIESGO PxI Nivel Riesgo PxI Nivel riesgo
Disminucin
Riesgo
R1. Acceso no autorizado 4 5 20
Extremo
1 5 5 Riesgo Medio 75.00%
R2. Ataques externos / internos Riesgo
(hacking no tico)
4 4 16
Extremo
2 4 8 Riesgo Medio 50.00%
R3. Cambio de privilegios sin
autorizacin
4 3 12 Riesgo Alto 3 3 9 Riesgo Medio 25.00%
R4. Desastres naturales 1 4 4 Riesgo Bajo 1 3 3 Riesgo Bajo 25.00%

R5. Divulgacin de informacin de
autenticacin
3 3 9 Riesgo Medio 2 3 6 Riesgo Medio 33.33%
R6. Error del administrador 4 3 12 Riesgo Alto 3 3 9 Riesgo Medio 25.00%

R7. Instalacin de software no
autorizado
3 2 6 Riesgo Medio 2 2 4 Riesgo Bajo 33.33%
R8. Interceptacin no autorizada de Riesgo
informacin en trnsito
4 4 16
Extremo
3 4 12 Riesgo Alto 25.00%
R9. Interrupcin en los servicios 3 3 9 Riesgo Medio 2 2 4 Riesgo Bajo 55.56%
R10. Modificacin sin autorizacin 3 3 9 Riesgo Medio 1 3 3 Riesgo Bajo 66.67%
R11. Robo de equipos 3 3 9 Riesgo Medio 1 1 1 Riesgo Inusual 88.89%
R12. Robo de informacin 3 4 12 Riesgo Alto 1 4 4 Riesgo Bajo 66.67%

R13. Suplantacin de identidad de
usuarios
R14. Uso inadecuado de sistemas para
generar fraudes
R15. Uso inadecuado de sistemas que
generan interrupcin
2 4 8 Riesgo Medio 2 3 6 Riesgo Medio 25.00%
Riesgo
R16. Abuso de privilegios 4 4 16
Extremo
3 4 12 Riesgo Alto 25.00%
Promedio disminucin de controles 44.97%
De acuerdo a estos datos los controles valoradores generaron una disminucin del
44.97% en el nivel del riesgos del proceso de tecnologa.
157
La siguiente grafica muestra el porcentaje de disminucin en el nivel de riesgo que
genero los respectivos controles valorados:
Figura 37. Disminucin nivel riesgos por controles valorados
Las siguientes son las matrices de riesgos inherente y residual del proceso del
proceso de tecnologa, donde se puede observar el desplazamiento que gnero
los controles identificados para cada uno de los riesgos:
Figura 38. Comparativo matriz de riesgos proceso de tecnologa

158
Los siguientes son algunos de los anlisis que se pueden establecer de acuerdo a
la disminucin del nivel de los riesgos que se presenta en el mapa de riesgo
residual del proceso de tecnologa:
La efectividad de los controles identificados permiti la disminucin del nivel de

los riesgos que estaban en la zona extrema, que correspondan a riesgos que
requeran acciones inmediatas de tratamiento orientadas a reducir, compartir el
riesgo, transferirlo o incluso evitarlo. Esta disminucin permiti que todos los
riesgos extremos se movieran a otras zonas del mapa de calor.
Los controles identificados y valorados para el riesgo R1 - Acceso no

autorizado, permitieron que este riesgo de moviera de la zona extrema a una
de las zona de riesgo medio. Esta reduccin fue una de las ms efectivas en el
mapa de calor, debido a que genero una disminucin del 75% en el nivel de
este riesgo. A pesar de la reduccin del nivel de este riesgo, el mismo quedo
es una zona de riesgo medio que requiere de medidas adecuadas que
permitan seguir disminuyendo el riesgo a un nivel bajo o inusual.
El Riesgos R2 - Ataques externos / internos (hacking no tico), paso de la zona

extrema a la zona de riesgo medio, debido a una disminucin en su nivel de
riesgo del 50% generada por los controles identificados. Este riesgo requiere
de acciones prontas y adecuadas para reducir el riesgo a niveles ms bajos.
Los Riesgo R8 - Interceptacin no autorizada de informacin en trnsito y R16

- Abuso de privilegios, que estaban en la zona extrema, solo tuvieron una
reduccin del 25% generada por sus respectivas controles, quedando en la
zona riesgo alto que requiere de una atencin y medidas urgentes para reducir
el nivel del riesgo.
Los controles valorados para el riesgo R11 - Robo de equipos, generaron el

mayor nivel desplazamiento en el mapa de calor, correspondiente a una
disminucin del nivel de riesgos del 89%, permitiendo que este riesgo pasara
de la zona media a la zona ms baja de riesgo inusual. Este riesgo se asume y
no necesita tratamiento.
El riesgo R12 - Robo de informacin pas de la zona de riesgo alta a la zona

de riesgo media, debido a que los controles valorados generaron una
disminucin del 66.67%. Este riesgo al quedar en una zona de riesgo medio
159
requiere de medidas adecuadas que permitan disminuir el riesgo a nivel bajo o
inusual.
Los Riesgos R3 - Cambio de privilegios sin autorizacin y R6 - Error del

administrador, solo tuvieron una disminucin del 25% de acuerdo a la
valoracin de los respectivos controles, lo cual, genero una disminucin de un
solo punto sobre el eje de la probabilidad (eje x). A pesar de que estos riesgos
pasaron de la zona de riesgo alto a la de riesgo medio, requieren de acciones
para seguir reduciendo el riesgo a niveles ms bajos.
Aunque los riesgos R5 - Divulgacin de informacin de autenticacin y R15 -

Uso inadecuado de sistemas que generan interrupcin, tuvieron una
disminucin del 25% en su nivel de riesgo, permanecieron en la zona media
del mapa de calor. Estos riesgos requieren de medidas para seguir reduciendo
el riesgo a niveles ms bajos.
A pesar de la disminucin que los controles genero sobre el Riesgo R4 -

Desastres naturales, este permaneci en la zona de riesgo bajo, donde se
requieren de algunas medidas preventivas para reducir el riesgo.
Despus de elaborar el mapa de riegos inherente del proceso de tecnologa, se

establecieron los planes de tratamiento orientados a mitigar los riesgos, con el
objetivo de preservar las caractersticas de confidencialidad, integridad y
disponibilidad de la informacin que se gestiona a travs de los activos de
tecnologa seleccionados para el proceso de valoracin de riesgos.
Para definir estos planes de tratamiento, se tuvo en cuenta el mapa de calor

relacionado en el captulo 4.3 Mapa de Calor de la metodologa de riesgos
relacionada en el Anexo D del presente trabajo, el cual define para cada una de
las zonas de mapa las acciones que se deben adelantar con el propsito de evitar,
reducir, transferir o asumir el riesgo.
De acuerdo a las disminuciones generadas por los controles sobre cada uno de
los riesgos valorados, la siguiente es la distribucin del riesgo residual del proceso
de tecnologa, que permite establecer las acciones para el tratamiento de los
riesgos valorados de acuerdo a como estos quedaron ubicados en los diferentes
tipos de riesgos:
160
Figura 39. Distribucin riesgo residual proceso de tecnologa
Fuente: El autor
Estas graficas permiten establecer:
Existe dos riesgos altos, que requieren atencin urgente y la implementacin

medidas para reducir el nivel del riesgo, los cuales son: R16. Abuso de
privilegios y R8. Interceptacin no autorizada de informacin en trnsito.
Existen seis riesgos (R1, R2, R5, R15, R3 y R6) en la zona media que
requieren de medidas prontas y adecuadas que permitan disminuir el riesgo a
nivel bajo o inusual.
Existen siete riesgos en la zona baja (R12, R14, R4, R10, R13, R7, R9) donde
el riesgo se mitiga con actividades propias y por medio de algunas medidas
preventivas para reducir el riesgo.
Existe un riesgo en la zona inusual (R11), que por esta en esta zona se puede
aceptar el riesgo sin necesidad de tomar otras medidas de control diferentes a
las existentes.
Las acciones que se definieron para el tratamiento de cada uno de los riesgos
valorados se encuentran en la Tabla 35. Opciones tratamiento riesgo residual del
proceso de tecnologa, del presente trabajo de grado. A partir de esta informacin,
se puede establecer la siguiente distribucin que indica el nmero de amenazas
de acuerdo a la opcin de tratamiento que se debe realizar para mitigar el riesgo:
161
Figura 40. Distribucin de amenazas por opcin de tratamiento del riesgo
Fuente: El autor
Los planes de tratamiento que se definieron para mitigar los riesgos residuales del
proceso de tecnologa producto de valorar las amenazas que pueden afectar a los
activos de informacin seleccionados, estn relaciones en el capitulo 5.3.3.
PLANES DE TRATAMIENTO DE RIESGO del presente trabajo.
Algunos de estos planes de tratamiento, al igual que los que se definieron para
cerrar las brechas encontradas producto del diagnostico del nivel de cumplimiento
de la entidad con relacin al Anexo A de la ISO 27001:2013, estn sujetos a la
viabilidad de su implementacin por parte de la entidad, debido a que algunos de
estos requieren la adquisicin de soluciones tecnolgicas que implican procesos
de contratacin, las cuales pueden llegar a tener un costo elevado y/o su
implementacin puede demandar un tiempo considerable. Dentro de estas
soluciones definidas en estos los planes de tratamiento estn:
Solucin para el monitoreo de Logs y correlacin de evento, su costo

aproximado puede estar al rededor de los $250.000.000 m/l.
Implementar un portal de intercambio seguro que garantice la integridad,
confidencialidad, autenticidad y no repudio de la informacin que se
intercambi con terceros. Esta herramienta tambin se identifico dentro el plan
de accin PA1 que se establecido para cerrar una de las brechas encontradas
producto de la revisin realizada del nivel de cumplimiento de la entidad con
relacin al Anexo A de la ISO 27001:2013.
162
Implementar mecanismos que garanticen el cifrado de la informacin que se
intercambia con terceros a travs del correo electrnico. Al igual que la
anterior, tambin esta como parte del plan de accin PA1.
Implementar mecanismo de cifrado de disco duro de los dispositivos mviles y
porttiles de la entidad. Tambin hace parte del plan de accin PA1.
Por lo tanto, y con el propsito de dar alcance al objetivo especfico OE8 que se
definido para el proyecto, se realizaron las siguientes actividades:
Identificacin y clasificacin de los activos de informacin del proceso de

Gestin de Tecnologa de la entidad.
Seleccin de los activos para la valoracin de riesgos de seguridad de la
informacin
Anlisis del riesgo inherente y elaboracin de la respectiva matriz
Evaluacin de los controles existentes para mitigar los riesgos
Determinacin del nivel de riesgos residual y elaboracin de la respectiva
matriz
Definicin de planes de tratamiento
OE9. Definir las polticas de la Seguridad de la Informacin de la entidad

tomando como base la norma ISO 27001:2013.
Para el desarrollo de las polticas de Seguridad de la Informacin, se tuvo en
cuentas los dominios, objetivos de control y controles que estn definidos en el
Anexo A de la Norma ISO/IEC 27001:2013. Tambin, para el desarrollo de las
policitas se tomo como marco de referencia el formato e implementacin de
polticas de seguridad y privacidad de la informacin que propone MINTIC [18].
Para efecto del presente trabajo se documentaron las polticas de seguridad de la

informacin relacionadas con los siguientes dominios de control del Anexo A de la
norma ISO 27001:2013:
Dominio de control Nombre de la Poltica de seguridad

A.5. Poltica General de Seguridad de la Informacin
A.6. Organizacin de Seguridad de la Informacin
A.7. Seguridad de los Recursos Humanos
163
A.8. Gestin de Activos
A.9. Control de Acceso
A.10. Criptografa
A.11. Seguridad Fsica y del Entorno
A.12. Seguridad de las Operaciones
A.13. Seguridad de las Comunicaciones
A.14. Adquisicin, Desarrollo y Mantenimiento de Sistemas
A.15. Relaciones con los Proveedores
A.16. Gestin de Incidentes de Seguridad de la Informacin
A.17. Seguridad de la Informacin en la Continuidad del Negocio
A.18. Cumplimiento de Requisitos Legales y Contractuales
Las polticas, normas y lineamientos que regirn la seguridad de la informacin en

la entidad y las responsabilidades y obligaciones de todos los colaboradores y
terceros que tengan acceso a la informacin de la entidad, estn documentadas
ANEXO F - MANUAL POLITICAS DE SEGURIDAD DE LA INFORMACION, que
hace parte de los entregables de este trabajo de grado.
Este manual de polticas debe ser aprobado por el comit de riesgos para su
debida publicacin, socializacin y cumplimiento. Debido a que el presente trabajo
de grado solo abarca el diseo de un sistema de gestin de seguridad de la
informacin para la entidad, y no la implementacin del mismo, la elaboracin del
manual de polticas de seguridad relacionado en el Anexo F, permite dar alcance
al objetivo especfico OE9 que se defini para el presente trabajo de grado.

Para alcanzar este objetivo especfico del proyecto, se elaboro el procedimiento
para el reporte y atencin de incidentes de seguridad, el cual esta referencia en el
ANEXO G - PROCEDMIENTO REPORTE Y ATENCION INCIDENTES DE
SEGURIDAD que hace parte de los entregables de este proyecto.
Para determinar las actividades que se deberan contemplar este procedimiento,

se tomo como referencia la gua de Gestin de Incidentes de seguridad de la
informacin del MINTIC [16], la cual plantea las siguientes actividades
involucradas en el ciclo de vida de la gestin de incidentes de seguridad:
164
Figura 41. Ciclo de vida gestin incidentes de seguridad de la informacin
Fuente: http://www.mintic.gov.co/gestionti/615/articles-
5482_Gestion_Incidentes.pdf
La estructura de los captulos que contiene este procedimiento, se tomo de

acuerdo al estndar establecido en la entidad para este tipo de documento.
El procedimiento para el reporte y atencin de incidentes de seguridad de la

informacin, comienza con la identificacin del evento de seguridad que pueda
afectar la disponibilidad, integridad y confidencialidad de la informacin de la
entidad, continua con el anlisis del evento para determinar si se clasifica o no
como una incidencia de seguridad para as determinar e implementar las medidas
de Contencin, Erradicacin y Recuperacin y finaliza con la aplicacin de
mejoras para prevenir la ocurrencia de nuevos incidentes.
El procedimiento de reporte y atencin de incidentes de seguridad debe ser

aprobado por el Vicepresidente de riesgos y el rea de calidad, para su debida
publicacin y socializacin. Debido a que el presente trabajo de grado solo abarca
el diseo de un sistema de gestin de seguridad de la informacin para la entidad,
y no la implementacin del mismo, la elaboracin de este procedimiento
relacionado en el Anexo G de presente trabajo, permite dar alcance al objetivo
especfico OE10 que se defini para el presente trabajo de grado.
165
7. CONCLUCIONES

modelo de mejoras practicas y lineamientos de seguridad, como es la norma
ISO/IEC 27001:2013, es un herramientas de gran ayuda que permite identificar los
diferentes aspectos que se deben tener en cuenta cuando las organizaciones
deciden establecer un modelo de seguridad de la informacin, ya que si los
organizaciones logran cumplir al pie de la letra lo establecido est en la norma
ISO/IEC 27001:2013, podar llegar a forjar en el tiempo un adecuado y sostenible
Sistema de Gestin de Seguridad de la Informacin, aunque dicha labor depende
del tamao y naturaleza de la entidad y de la cultura de la misma en torno a la
seguridad de la informacin.
Esta labor debe comenzar con el compromiso demostrable de la alta directiva

hacia la seguridad de la informacin, labor que no es nada fcil cuando no se tiene
concebida la seguridad de la informacin dentro de los objetivos estratgicos de la
organizacin. El apoyo de la alta directiva, es indispensable para poder concebir
un modelo de Seguridad de la Informacin que realmente apoye y apalanque la
misin y visin de la organizacin, el cual es fundamental que se tenga antes de
comenzar a disear un Sistema de Gestin de Seguridad de la Informacin, ya
que si este no se logra conseguir, es casi seguro que cualquier iniciativa de
seguridad que se pretender adelantar, no alcancen los resultados esperados y si
por el contrario, genere el rechazo o el poco apoyo o inters por parte de la
organizacin.
Con este proyecto de grado se pretendi disear un Sistema de Seguridad de la

Informacin para una entidad financiera de segundo piso, para lo cual se decidi
utilizar como marco de referencia la norma ISO 27001:2013.
Resultado de tratar de aplicar los diferentes requerimientos de la norma ISO

27001:2013, se logro obtener una serie de diagnsticos que permitieron establecer
el nivel de madures de la entidad frente a la gestin de la seguridad de la
informacin.
A continuacin de describen las conclusiones de estos diagnsticos:
166
Debido a la complejidad de la infraestructura tecnologa y a la capacidad del
rea de tecnologa, la entidad se encuentra clasificada en un nivel MEDIO de
estratificacin, que implica un esfuerzo considerable para la implementacin
del Sistema de Gestin de Seguridad de la Informacin, lo cual, se ve reflejado
en los diferentes planes de accin que se generaron a lo largo del proyecto que
estn orientado a dar cumplimiento a los requerimientos de la norma ISO/IEC
27001:2013.
El nivel de cumplimiento de la entidad frente de los requerimientos del Anexo A

de la norma ISO/IEC 27001:2013, es del 46%, lo que significa que la
implementacin del Sistema de Gestin de Seguridad de la informacin le
implicar a la entidad un refuerzo considerable debido a la ausencia de
controles o al bajo grado de cumplimiento de muchos de ellos.
La falta de controles orientados a proteger la informacin que se intercambia

con terceros, puede generar consecuencias graves para la entidad y afectar de
manera negativa su imagen ante sus partes interesadas, por tal razn, es
urgente que la entidad implementen mecanismos de cifrado con el objetivo de
garantizar la integridad, confidencialidad y autenticidad de esta informacin.
Es necesarios establecer cuenta antes el proceso de gestin de incidentes de

seguridad para proveer en la entidad de un mecanismo para el reporte,
evaluacin y respuesta a los eventos e incidencias de seguridad de la
informacin
Es necesario el establecimiento de unas polticas de seguridad aprobadas por

la Alta Direccin, para garantizar su debida implementacin, actualizacin y
cumplimiento.
Se requiere implementar controles adecuados y efectivos, o fortalecer los

existentes, con el objetivo de asegurar que la seguridad de la informacin sea
parte del ciclo de vida del desarrollo de aplicaciones de la entidad y con ello
garantizar que los cambios que se realizan en produccin no afecten la
operacin ni la seguridad de la informacin de la entidad.
Se requiere establecer un plan anual de capacitacin, formacin y

sensibilizacin en seguridad de la informacin, con el objetivo de fortalecer la
cultura de seguridad en los colaboradores y terceros que laboran para la
entidad.
167
Es necesario implementar un mecanismo que control de acceso de los
dispositivos de la red de la entidad, con el objetivo de garantizar que solo
puede acceder los dispositivos que autorizados.
Se requiere implementar un mecanismo para el monitoreo de los LOGs de

eventos de seguridad y las actividades que realizan los administradores sobre
la plataforma de procesamiento.
Es fundamental que el oficial de seguridad participa en los comits de cambios.
La entidad no tiene establecidos los lineamientos para el uso aceptable de los

activos de informacin asociados con la informacin e instalaciones de
procesamiento de informacin, lo que genera que los usuarios desconozcan
sus responsabilidades y consecuencia de sus acciones.
168
8. RECOMENDACIONES
La entidad requiere implementar una serie de controles con el objetivo de

fortalecer su seguridad y poder dar cumplimiento a los requerimientos establecidos
en la norma ISO 27001:2013, por eso es fundamental que lleven a cabo los
diferentes planes de acciones que se definieron en el presente trabajo de grado.
Es necesario que la Direccin de Tecnologa de la entidad revise su capacidad

con el objetivo de garantizar la debida implementacin de los controles y planes de
acciones que se requieren llevar a cabo para cerrar las brechas encontradas
producto de los diagnsticos realizados, ya que la mayora de estos planes de
accin requiere un componente tecnolgico.
Es necesario que la entidad evalu la vialidad de algunos planes de acciones

propuestos, debido a que su implementacin demanda la adquisicin de
herramientas y/o soluciones tecnolgicas que implica adelantar procesos de
contratacin para su adquisicin. Algunas de las soluciones tecnolgicas que se
proponen, pueden llegar a tener un costo elevado y/o su implementacin puede
demandar un tiempo considerable.
Realizar campaas de seguridad de la informacin, con el propsito de poder

generar un sentido de pertenencia y apropiacin en temas de seguridad en cada
uno de los funcionarios de la entidad, y concientizar sobre los riesgos que pueden
afectar la seguridad de la informacin.
Por ltimo, si no se consigue el compromiso demostrable de la Alta Directiva hacia

la seguridad de la informacin, el autor considera que no es recomendable
implementar en las organizaciones un Sistema de Gestin de Seguridad de la
Informacin.
169
BIBLIOGRAFIA
[1] ICONTEC, NTC-ISO-IEC 27001, 2013.
[2] Ernst & Young, XV Encuesta Global de Seguridad de la Informacin de Ernst

& Young, 2013. [En lnea]. Available: http://www.ey.com. [ltimo acceso: 05
08 2015].
[3] ACIS, Tendencias 2014 Encuesta Nacional de Seguridad Informtica, [En
lnea]. Available:
http://acis.org.co/revistasistemas/index.php/component/k2/item/164-
tendencias-2014-encuesta-nacional-de-seguridad-inform%C3%A1tica.
[ltimo acceso: 10 06 2015].
[4] Asociacin Espaola para la Calidad, [En lnea]. Available:
http://www.aec.es/web/guest/centro-conocimiento/seguridad-de-la-
informacion. [ltimo acceso: 21 07 2015].
[5] Universidad Pedaggica Experimental Libertador, Manual de Tesis de Grado
y Especializacin y Maestra y Tesis Doctorales, 2002. [En lnea]. Available:
http://neutron.ing.ucv.ve/NormasUPEL2006.pdf. [ltimo acceso: 12 Agosto
2015].
[6] Gobierno en lnea, ANEXO 3: ESTRATIFICACIN DE ENTIDADES, [En
lnea]. Available:
http://css.mintic.gov.co/ap/gel4/images/SeguridaddelaInformacion2_0_Anexo
3_Estratificacion.pdf. [ltimo acceso: 12 Mayo 2015].
[7] Gobierno en Linea, MODELO DE SEGURIDAD DE LA INFORMACIN
SISTEMA SANSI - SGSI, 2008. [En lnea]. Available:
http://programa.gobiernoenlinea.gov.co/apc-aa-
files/5854534aee4eee4102f0bd5ca294791f/ModeloSeguridad_SANSI_SGSI.
pdf. [ltimo acceso: 15 06 2015].
[8] Autorregulador del Mercado de Valores de Colombia AMV, Reglamento
AMV, www.amvcolombia.org.co, 24 12 2009. [En lnea]. Available:
http://www.amvcolombia.org.co/attachments/data/20110214135739.pdf.
[ltimo acceso: 10 05 2015].
[9] Superintendencia Financiera de Colombia, Circular Externa 052, 2007.
[10] Superintendencia Financiera de Colombia, Circular Externa 038, 2009.
[11] Congreso de la Republica, Ley Estatutaria 1266 de 2008, [En lnea].

Available:
http://www.secretariasenado.gov.co/senado/basedoc/ley_1266_2008.html.
170
[ltimo acceso: 10 Julio 2015].
[12] Congreso de Colombia, Ley Estatutaria 1581 de 2012, [En lnea]. Available:
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=49981. [ltimo
acceso: 10 Julio 2015].
[13] Presidente de la Republica, Decreto 1377 de 2013, [En lnea]. Available:
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=53646. [ltimo
acceso: 10 Julio 2015].
[14] Ministerio de Tecnologas de la Informacin y las Comunicaciones, Modelo
de seguridad y privacidad de la informacin, [En lnea]. Available:
http://www.mintic.gov.co/gestionti/615/articles-5482_Modelo_Seguridad.pdf.
[15] Departamento Administrativo de la Funcin Pblica (DAFP), Gua para la
administracin del riesgo, portal.dafp.gov.co, septiembre 2011. [En lnea].
Available:
http://portal.dafp.gov.co/portal/pls/portal/formularios.retrive_publicaciones?no
=1592. [ltimo acceso: 10 2014].
[16] MINTIC, Gua: Gestin de Incidentes de Seguridad de la Informacin,
www.mintic.gov.co, 2014. [En lnea]. Available:
http://www.mintic.gov.co/gestionti/615/articles-5482_Gestion_Incidentes.pdf.
[ltimo acceso: 28 Agosto 2015].
[17] Centro Criptolgico Nacional de Espaa, GUA DE SEGURIDAD DE LAS
TIC (CCN-STIC-817), Agosto 2012. [En lnea]. Available: https://www.ccn-
cert.cni.es/publico/seriesCCN-STIC/series/800-
Esquema_Nacional_de_Seguridad/817-Gestion_incidentes_seguridad/817-
Gestion_incidentes_seguridad-ago12.pdf. [ltimo acceso: 4 Septiembre
2015].
[18] MINTIC, Formato e implementacin de polticas de seguridad y privacidad de
la informacin, [En lnea]. Available:
http://www.mintic.gov.co/gestionti/615/articles-
5482_Implementacion_politicas.pdf. [ltimo acceso: 05 09 2015].
[19] Autorregulador del Mercado de Valores de Colombia AMV, Reglamento
AMV, [En lnea]. Available:
http://www.amvcolombia.org.co/attachments/data/20110214135739.pdf.
[20] Comisin Econmica para Amrica Latina y el Caribe, CEPAL, Metodologa
del marco lgico para la planificacin, el seguimiento y la evaluacin de
proyectos y programas, http://www.cepal.org/es, [En lnea]. Available:
http://repositorio.cepal.org/bitstream/handle/11362/5607/S057518_es.pdf?se
quence=1. [ltimo acceso: 4 Agosto 2014].
171
[21] Una metodologa de evaluacin de cadenas agro-alimenticias para la
identificacin de problemas y proyectos, Capitulo 5 - Identificar soluciones a
los problemas, http://www.fao.org, [En lnea]. Available:
http://www.fao.org/wairdocs/x5405s/x5405s07.htm. [ltimo acceso: 10
Agosto 2014].
[22] ICONTEC, GUIA TECNICA COLOMBIA GTC-ISO/IEC 27035, 2012.
[23] iso27000.es, ISO 27000.es, [En lnea]. Available:

http://www.iso27000.es/sgsi.html. [ltimo acceso: 16 Junio 2015].
[24] DECEVAL, REGLAMENTO DEL SISTEMA DE REGISTRO DE DECEVAL,
www.deceval.com.co, [En lnea]. Available:
https://www.deceval.com.co/portal/page/portal/Home/Marco_Legal/Reglamen
tos/Reglamento%20sist%20registro%2021%20de%20agosto%20de%20200
9.pdf. [ltimo acceso: 16 05 2015].
172
ANEXOS
ANEXO A. ENCUESTAS ESTRATIFICACION DE ENTIDADES
ANEXO B. EVALUACION CONTROLES ANEXO A ISO 27001-2013.
ANEXO C. ALCANCE POLITICAS Y OBJETIVO DEL SGSI
ANEXO D. METODOLOGIA DE GESTION DE RIESGOS
ANEXO E. CLASIFICACION ACTIVOS Y VALORACION DE RIESGOS
ANEXO F. MANUAL DE POLITICA SEGURIDAD DE LA INFORMACION
ANEXO G. PROCEDIMIENTO REPORTE Y ATENCION INCIDENTES DE

SEGURIDAD
173

Proyecto de Grado SGSI - IGM - CarlosGuzman (FINAL) PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Proyecto de Grado SGSI - IGM - CarlosGuzman (FINAL) PDF

Transféré par

Droits d'auteur :

Formats disponibles

DISEO DE UN SISTEMA DE GESTION DE SEGURIDAD DE LA

INFORMACION PARA UNA ENTIDAD FINANCIERA DE

CARLOS ALBERTO GUZMAN SILVA

INSTITUCIN UNIVERSITARIA POLITCNICO GRANCOLOMBIANO

CARLOS ALBERTO GUZMAN SILVA

INSTITUCIN UNIVERSITARIA POLITCNICO GRANCOLOMBIANO

Firmas de los jurados

Tabla 1. Factores asociados a las situaciones del problema ................................ 17

Figura 1. Identificacin Situacin Problema .......................................................... 16

El aseguramiento y la proteccin de la seguridad de la informacin de las

Cualquier tipo de organizacin independiente de su tamao y naturaleza, debe ser

Las entidades del sector financiero, estn en la obligacin de garantizar la debida

Debido a los mltiples riesgos y amenazas que hoy en da atentan contra la

El presente trabajo de grado busca disear un Sistema de Gestin de Seguridad

El diseo del Sistema de Gestin de Seguridad de la Informacin se realizar para

1.1. DESCRIPCIN GENERAL

IGM S.A es un Banco de Segundo Piso, tambin conocidos como bancos de

La Entidad cuenta con la infraestructura tecnolgica adecuada y tiene

1.1.1. ESTADO DE LA SEGURIAD DE LA INFORMACION EN IGM S.A

Con el propsito, de solventar cada una de los hallazgos encontrados y atender

Diagnstico fsico y de infraestructura.

Como resultado de esta consultora, la entidad desarrollo un plan de mitigacin de

Adicional a las labores realizadas por esta consultara, la Direccin de Tecnologa

A finales del ao 2013, la Jefatura de Control Interno realizo la respetiva auditoria

1.1.2. IDENTIFICACION DEL PROBLEMA

La entidad no cuenta con sistema de informacin adecuado y robusto para la

La Direccin de Tecnologa realiza algunas funciones propias de seguridad de la

1.1.3. DIAGNOSTICO SITUACION PROBLEMA

Los funcionarios no conciben la No existe una participacin

Figura 1. Identificacin Situacin Problema

Tabla 1. Factores asociados a las situaciones del problema

Con base en las anteriores situaciones, se puede determinar que el problema

Tabla 2. Indicadores del problema

Indicador Objetivo del indicador

De acuerdo a encuestas y estudios globales realizados sobre temas de seguridad

Nivel de compromiso de funciones y responsabilidades de seguridad

Cubrimiento planes de tratamiento de riesgos de seguridad

Concienciacin en seguridad de la informacin

1.1.5. PLANTEAMIENTO DEL PROBLEMA

Un Sistema de Gestin de la Seguridad de la Informacin, es una herramienta de

La implementacin de un Sistema de Gestin de Seguridad de la Informacin,

Con base en el diagnstico de la situacin problema, la empresa IGM S.A.

IGM S.A, requiere disear, implementar y mantener un Sistema de Gestin de

IGM S.A, requiere establecer un Gobierno de Seguridad alineado la cultura

De acuerdo a lo anterior, se puede establecer que el problema est relacionado

1.1.6. FORMULACION DEL PROBLEMA

Un Sistema de Gestin de Seguridad de la Informacin le proveer a IGM S.A los

1.2.1. OBJETIVO GENERAL

1.2.2. OBJETIVO ESPECIFICOS

1.3. ALCANCE Y LIMITACIONES

El alcance del proyecto abarca el diseo un Sistema de Gestin de Seguridad de

El alcance del proyecto abarca solo el Proceso de Gestin de Tecnologa, para la

1.4.1. ENTREGABLES DEL TRABAJO

La poltica, alcance y objetivos del Sistema de Gestin de Seguridad de la

1.4.2. IMPACTO DEL PROYECTO

Garantizar su Misin y Alcanzar su visin. El diseo de un Sistema de Gestin

Mejorar la Imagen de la entidad. Un Sistema de Gestin de Seguridad de la

Disminuir costos. Un Sistema de Gestin de Seguridad de la Informacin puede

Cumplimiento normativo. Sistema de Gestin de Seguridad de la Informacin

El diseo de un Sistema de Gestin de Seguridad de la Informacin basado en un

Un Sistema de Gestin de Seguridad de la Informacin, demuestra el compromiso

Establecer un Sistema de Gestin de Seguridad de la Informacin, significa que la

Un Sistema de Gestin de Seguridad de la Informacin, le permitir a la entidad